Разрешение и блокировка URL-адресов с помощью списка разрешенных и заблокированных клиентов
Совет
Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.
В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных Exchange Online Protection организациях без Exchange Online почтовых ящиков администраторы могут создавать записи ДЛЯ URL-адресов в списке разрешенных и заблокированных клиентов и управлять ими. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.
Примечание.
Чтобы разрешить фишинговые URL-адреса из сторонних симуляций фишинга, используйте расширенную конфигурацию доставки для указания URL-адресов. Не используйте список разрешенных и заблокированных клиентов.
В этой статье описывается, как администраторы могут управлять записями для URL-адресов на портале Microsoft Defender и в Exchange Online PowerShell.
Что нужно знать перед началом работы
Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Списка разрешенных и заблокированных клиентов, используйте .https://security.microsoft.com/tenantAllowBlockList Чтобы перейти непосредственно на страницу Отправки, используйте .https://security.microsoft.com/reportsubmission
Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell. Чтобы подключиться к автономному EOP PowerShell, см. раздел Подключение к PowerShell Exchange Online Protection.
Синтаксис ввода URL-адреса см. в синтаксисе URL-адресов для раздела Список разрешенных и заблокированных клиентов далее в этой статье.
-
- Ограничения на вход для URL-адресов:
- Exchange Online Protection: максимальное число разрешенных записей — 500, а максимальное число блок-записей — 500 (всего 1000 записей URL-адреса).
- Defender для Office 365 план 1. Максимальное число разрешенных записей — 1000, а максимальное число блок-записей — 1000 (всего 2000 записей URL-адреса).
- Defender для Office 365 план 2. Максимальное число разрешенных записей — 5000, а максимальное число блок-записей — 10 000 (всего 15 000 записей URL-адреса).
В записи URL-адреса можно ввести не более 250 символов.
Запись должна быть активна в течение 5 минут.
Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:
- Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (влияет только на портал Defender, а не На PowerShell):
- Добавление и удаление записей из списка разрешенных и заблокированных клиентов: членство, назначенное со следующими разрешениями:
- Авторизация и параметры/Параметры безопасности/Настройка обнаружения (управление)
- Доступ только для чтения к списку разрешенных и заблокированных клиентов:
- Авторизация и параметры/Параметры безопасности/Только для чтения.
- Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).
- Добавление и удаление записей из списка разрешенных и заблокированных клиентов: членство, назначенное со следующими разрешениями:
- разрешения Exchange Online:
- Добавление и удаление записей из списка разрешенных и заблокированных клиентов: членство в одной из следующих групп ролей:
- Управление организацией или администратор безопасности (роль администратора безопасности).
- Оператор безопасности (клиент AllowBlockList Manager).
- Доступ только для чтения к списку разрешенных и заблокированных клиентов: членство в одной из следующих групп ролей:
- Глобальный читатель
- Читатель сведений о безопасности
- Конфигурация только для чтения
- View-Only Organization Management
- Добавление и удаление записей из списка разрешенных и заблокированных клиентов: членство в одной из следующих групп ролей:
- Microsoft Entra разрешения. Членство в ролях глобального администратора, администратора безопасности, глобального читателя или читателя безопасности предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.
- Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (влияет только на портал Defender, а не На PowerShell):
Создание разрешенных записей для URL-адресов
Нельзя создавать разрешенные записи для URL-адресов непосредственно в списке разрешенных и заблокированных клиентов. Ненужные записи разрешения предоставляют вашей организации вредоносные сообщения электронной почты, которые были бы отфильтрованы системой.
Вместо этого вы используете вкладку URL-адреса на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=url. При отправке заблокированного URL-адреса в поле Не должно быть заблокировано (ложноположительный результат) можно выбрать Параметр Разрешить этот URL-адрес для добавления и разрешить запись url-адреса на вкладке URL-адреса на странице Списки разрешения и блокировки клиента. Инструкции см. в статье Отчет о хороших URL-адресах в Майкрософт.
Примечание.
Мы создаем разрешенные записи для URL-адресов, которые были определены нашими фильтрами как вредоносные во время потока обработки почты или во время щелчка.
Мы разрешаем последующие сообщения, содержащие варианты исходного URL-адреса. Например, вы используете страницу Отправки , чтобы сообщить о неправильно заблокированном URL-адресе www.contoso.com/abc
. Если ваша организация позже получит сообщение, содержащее URL-адрес (напримерwww.contoso.com/abc
, www.contoso.com/abc?id=1
www.contoso.com/abc/def/gty/uyt?id=5
или www.contoso.com/abc/whatver
), сообщение не блокируется по URL-адресу. Иными словами, вам не нужно сообщать корпорации Майкрософт о нескольких вариантах одного и того же URL-адреса.
При повторном обнаружении сущности в записи разрешения (во время потока обработки почты или при щелчке), все фильтры, связанные с этой сущностью, переопределяются.
По умолчанию разрешенные записи для URL-адресов существуют в течение 30 дней. В течение этих 30 дней корпорация Майкрософт учится на разрешенных записях и удаляет их или автоматически расширяет их. После того как корпорация Майкрософт узнает из удаленных записей allow, сообщения, содержащие эти URL-адреса, доставляются, если что-то еще в сообщении не будет обнаружено как вредоносное.
Если во время потока обработки почты сообщения, содержащие разрешенный URL-адрес, проходят другие проверки в стеке фильтрации, сообщения доставляются. Например, если сообщение проходит проверку подлинности по электронной почте и фильтрацию файлов, сообщение доставляется, если оно также содержит разрешенный URL-адрес.
Во время щелчка url-адреса разрешить запись переопределяет все фильтры, связанные с сущностью URL-адреса, что позволяет пользователям получать доступ к URL-адресу.
Разрешенная запись URL-адреса не препятствует переносу URL-адреса с помощью защиты безопасных ссылок в Defender для Office 365. Дополнительные сведения см . в разделе Не переписывать список в SafeLinks.
Создание записей блоков для URL-адресов
Email сообщения, содержащие эти заблокированные URL-адреса, блокируются как фишинг с высокой достоверностью. Сообщения, содержащие заблокированные URL-адреса, помещаются в карантин.
Чтобы создать блочные записи для URL-адресов, используйте один из следующих методов:
Для создания записей блоков для URL-адресов доступны следующие варианты:
На вкладке URL-адреса на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=url. При отправке сообщения Должно быть заблокировано (ложноотрицательный) можно выбрать Блокировать этот URL-адрес, чтобы добавить запись блока на вкладку URL-адреса на странице Разрешения и блокировки клиента Списки. Инструкции см. в статье Отчет о сомнительных URL-адресах в Майкрософт.
На вкладке URL-адреса на странице Разрешения и блокировки клиента Списки или в PowerShell, как описано в этом разделе.
Использование портала Microsoft Defender для создания записей блокировки для URL-адресов в списке разрешенных и заблокированных клиентов
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз, раздел >Разрешения и блокировки Списки клиента. Или, чтобы перейти непосредственно на страницу Список разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.
На странице Список разрешенных и заблокированных клиентов выберите вкладку URL-адреса .
На вкладке URL-адреса выберите Блокировать.
Во всплывающем окне Блокировать URL-адреса настройте следующие параметры:
Добавление URL-адресов с подстановочными знаками. Введите один URL-адрес в строке не более 20. Дополнительные сведения о синтаксисе для записей URL-адресов см. в разделе Синтаксис URL-адресов для списка разрешенных и заблокированных клиентов далее в этой статье.
Удалить запись блока после. Выберите из следующих значений:
- Срок действия не истекает
- 1 день
- 7 дней
- 30 дней (по умолчанию)
- Конкретная дата: максимальное значение — 90 дней с сегодняшнего дня.
Необязательное примечание. Введите описательный текст, чтобы указать причину блокировки URL-адресов.
Завершив работу во всплывающем окне Блокировать URL-адреса , нажмите кнопку Добавить.
На вкладке URL-адреса отображается запись.
Использование PowerShell для создания записей блоков для URL-адресов в списке разрешенных и заблокированных клиентов
В Exchange Online PowerShell используйте следующий синтаксис:
New-TenantAllowBlockListItems -ListType Url -Block -Entries "Value1","Value2",..."ValueN" <-ExpirationDate <Date> | -NoExpiration> [-Notes <String>]
В этом примере добавляется запись блока для contoso.com URL-адреса и всех поддоменов (например, contoso.com и xyz.abc.contoso.com). Так как мы не использовали параметры ExpirationDate или NoExpiration, срок действия записи истекает через 30 дней.
New-TenantAllowBlockListItems -ListType Url -Block -Entries *contoso.com
Подробные сведения о синтаксисе и параметрах см. в разделе New-TenantAllowBlockListItems.
Используйте портал Microsoft Defender для просмотра записей URL-адресов в списке разрешенных и заблокированных клиентов
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз,разрешенные или заблокированные Списки клиента в разделе Правила. Или, чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте https://security.microsoft.com/tenantAllowBlockList.
Перейдите на вкладку URL-адреса .
На вкладке URL-адреса можно отсортировать записи, щелкнув доступный заголовок столбца. Доступны следующие столбцы:
- Значение: URL-адрес.
- Действие. Доступные значения : Разрешить или Блокировать.
- Изменено
- Последнее обновление
- Удалить в: дата окончания срока действия.
- Примечания.
Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:
- Действие. Доступные значения : Разрешить и Блокировать.
- Срок действия не истекает: или
- Последнее обновление: выберите От и К датам .
- Удалить в: выберите От и К датам.
По завершении во всплывающем окне Фильтр нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.
Используйте поле Поиск и соответствующее значение для поиска определенных записей.
Чтобы сгруппировать записи, выберите Группировать , а затем — Действие. Чтобы разгруппировать записи, выберите Нет.
Использование PowerShell для просмотра записей URL-адресов в списке разрешенных и заблокированных клиентов
В Exchange Online PowerShell используйте следующий синтаксис:
Get-TenantAllowBlockListItems -ListType Url [-Allow] [-Block] [-Entry <URLValue>] [<-ExpirationDate <Date> | -NoExpiration>]
В этом примере возвращаются все разрешенные и заблокированные URL-адреса.
Get-TenantAllowBlockListItems -ListType Url
В этом примере результаты фильтруется по заблокированным URL-адресам.
Get-TenantAllowBlockListItems -ListType Url -Block
Подробные сведения о синтаксисе и параметрах см. в разделе Get-TenantAllowBlockListItems.
Использование портала Microsoft Defender для изменения записей URL-адресов в списке разрешенных и заблокированных клиентов
В существующих записях URL-адреса можно изменить дату окончания срока действия и примечание.
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз, раздел >Разрешения и блокировки Списки клиента. Или, чтобы перейти непосредственно на страницу разрешения или блокировки клиента Списки, используйте https://security.microsoft.com/tenantAllowBlockList.
Выберите вкладку URL-адреса
На вкладке URL-адреса выберите запись из списка, выбрав поле проверка рядом с первым столбцом, а затем выберите действие Изменить.
Во всплывающем окне Изменение URL-адреса доступны следующие параметры:
- Блокировочные записи:
- Удалить запись блока после. Выберите из следующих значений:
- 1 день
- 7 дней
- 30 дней
- Срок действия не истекает
- Конкретная дата: максимальное значение — 90 дней с сегодняшнего дня.
- Необязательное примечание
- Удалить запись блока после. Выберите из следующих значений:
- Разрешить записи:
- Удалить разрешить запись после. Выберите из следующих значений:
- 1 день
- 7 дней
- 30 дней
- Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
- Необязательное примечание
- Удалить разрешить запись после. Выберите из следующих значений:
По завершении во всплывающем окне Изменение URL-адреса нажмите кнопку Сохранить.
- Блокировочные записи:
Совет
Во всплывающем меню сведений о записи на вкладке URL-адреса используйте команду Просмотр отправки в верхней части всплывающего окна, чтобы перейти к сведениям о соответствующей записи на странице Отправки . Это действие доступно, если отправка отвечала за создание записи в списке разрешенных и заблокированных клиентов.
Использование PowerShell для изменения записей URL-адресов в списке разрешенных и заблокированных клиентов
В Exchange Online PowerShell используйте следующий синтаксис:
Set-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
В этом примере изменяется дата окончания срока действия записи блока для указанного URL-адреса.
Set-TenantAllowBlockListItems -ListType Url -Entries "~contoso.com" -ExpirationDate "9/1/2022"
Подробные сведения о синтаксисе и параметрах см. в разделе Set-TenantAllowBlockListItems.
Используйте портал Microsoft Defender для удаления записей URL-адресов из списка разрешенных и заблокированных клиентов
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угроз, раздел >Разрешения и блокировки Списки клиента. Или, чтобы перейти непосредственно на страницу Список разрешенных и заблокированных клиентов , используйте https://security.microsoft.com/tenantAllowBlockList.
Перейдите на вкладку URL-адреса .
На вкладке URL-адреса выполните одно из следующих действий.
Выберите запись из списка, выбрав поле проверка рядом с первым столбцом, а затем выберите действие Удалить, которое появится.
Выберите запись из списка, щелкнув в любом месте строки, кроме поля проверка. Во всплывающем окне сведений выберите Удалить в верхней части всплывающего окна.
Совет
Чтобы просмотреть сведения о других записях, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.
В открывшемся диалоговом окне предупреждения выберите Удалить.
На вкладке URL-адреса запись больше не отображается.
Совет
Можно выбрать несколько записей, выбрав каждое поле проверка, или выбрать все записи, выбрав поле проверка рядом с заголовком столбца Значение.
Удаление записей URL-адресов из списка разрешенных и заблокированных клиентов с помощью PowerShell
В Exchange Online PowerShell используйте следующий синтаксис:
Remove-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>>
В этом примере запись блока для указанного URL-адреса удаляется из списка разрешенных и заблокированных клиентов.
Remove-TenantAllowBlockListItems -ListType Url -Entries "*cohovineyard.com
Подробные сведения о синтаксисе и параметрах см. в разделе Remove-TenantAllowBlockListItems.
Синтаксис URL-адреса для списка разрешенных и заблокированных клиентов
Адреса IPv4 и IPv6 разрешены, но порты TCP/UDP — нет.
Расширения имен файлов не допускаются (например, test.pdf).
Юникод не поддерживается, но Punycode — это.
Имена узлов разрешены, если все следующие инструкции имеют значение true:
- Имя узла содержит точку.
- Слева от точки есть по крайней мере один символ.
- Справа от точки есть по крайней мере два символа.
Например,
t.co
разрешено или.com
contoso.
запрещено.Подпутьи не подразумеваются для разрешений.
Например,
contoso.com
не включаетcontoso.com/a
.Подстановочные знаки (*) разрешены в следующих сценариях:
За подстановочным знаком слева должна следовать точка для указания поддомена. (применимо только для блоков)
Например,
*.contoso.com
значение разрешено;*contoso.com
запрещено.Чтобы указать путь, справа должен следовать косая черта (/).
Например,
contoso.com/*
разрешено илиcontoso.com*
contoso.com/ab*
запрещено.*.com*
недопустим (не является разрешаемым доменом, и правильный подстановочный знак не следует за косой чертой).Подстановочные знаки не допускаются в IP-адресах.
Символ тильды (~) доступен в следующих сценариях:
Левая тильда подразумевает домен и все поддомены.
Например,
~contoso.com
включаетcontoso.com
и*.contoso.com
.
Имя пользователя или пароль не поддерживается и не требуется.
Кавычки (' или ") являются недопустимыми символами.
URL-адрес должен содержать все перенаправления, где это возможно.
Сценарии ввода URL-адресов
Допустимые записи URL-адресов и их результаты описаны в следующих подразделах.
Сценарий. Блокировка домена верхнего уровня
Запись: *.<TLD>/*
- Совпадение блоков:
- a.TLD
- TLD/abcd
- b.abcd.TLD
- TLD/contoso.com
- TLD/q=contoso.com
www.abcd.TLD
www.abcd.TLD/q=a@contoso.com
Сценарий. Подстановочные знаки отсутствуют
Запись: contoso.com
Разрешить совпадение: contoso.com
Разрешить не совпадает:
- abc-contoso.com
- contoso.com/a
- payroll.contoso.com
- test.com/contoso.com
- test.com/q=contoso.com
www.contoso.com
www.contoso.com/q=a@contoso.com
Совпадение блоков:
- contoso.com
- contoso.com/a
- payroll.contoso.com
- test.com/contoso.com
- test.com/q=contoso.com
www.contoso.com
www.contoso.com/q=a@contoso.com
Блок не соответствует: abc-contoso.com
Сценарий: левый подстановочный знак (поддомен)
Совет
Разрешить записи этого шаблона поддерживаются только в расширенной конфигурации доставки.
Запись: *.contoso.com
Разрешить совпадение и совпадение блоков:
www.contoso.com
- xyz.abc.contoso.com
Разрешить не совпадать и Блокировать не соответствует:
- 123contoso.com
- contoso.com
- test.com/contoso.com
www.contoso.com/abc
Сценарий: подстановочный знак справа в верхней части пути
Запись: contoso.com/a/*
Разрешить совпадение и совпадение блоков:
- contoso.com/a/b
- contoso.com/a/b/c
- contoso.com/a/?q=joe@t.com
Разрешить не совпадать и Блокировать не соответствует:
- contoso.com
- contoso.com/a
www.contoso.com
www.contoso.com/q=a@contoso.com
Сценарий: левая тильда
Совет
Разрешить записи этого шаблона поддерживаются только в расширенной конфигурации доставки.
Запись: ~contoso.com
Разрешить совпадение и совпадение блоков:
- contoso.com
www.contoso.com
- xyz.abc.contoso.com
Разрешить не совпадать и Блокировать не соответствует:
- 123contoso.com
- contoso.com/abc
www.contoso.com/abc
Сценарий: суффикс с подстановочными знаками справа
Запись: contoso.com/*
Разрешить совпадение и совпадение блоков:
- contoso.com/?q=whatever@fabrikam.com
- contoso.com/a
- contoso.com/a/b/c
- contoso.com/ab
- contoso.com/b
- contoso.com/b/a/c
- contoso.com/ba
Разрешить не совпадать и Блокировать не соответствует: contoso.com
Сценарий: поддомен слева и правый суффикс с подстановочными знаками
Совет
Разрешить записи этого шаблона поддерживаются только в расширенной конфигурации доставки.
Запись: *.contoso.com/*
Разрешить совпадение и совпадение блоков:
- abc.contoso.com/ab
- abc.xyz.contoso.com/a/b/c
www.contoso.com/a
www.contoso.com/b/a/c
- xyz.contoso.com/ba
Разрешить не совпадать и Блокировать не соответствует: contoso.com/b
Сценарий: левая и правая тильда
Совет
Разрешить записи этого шаблона поддерживаются только в расширенной конфигурации доставки.
Запись: ~contoso.com~
Разрешить совпадение и совпадение блоков:
- contoso.com
- contoso.com/a
www.contoso.com
www.contoso.com/b
- xyz.abc.contoso.com
- abc.xyz.contoso.com/a/b/c
- contoso.com/b/a/c
- test.com/contoso.com
Разрешить не совпадать и Блокировать не соответствует:
- 123contoso.com
- contoso.org
- test.com/q=contoso.com
Сценарий: IP-адрес
Запись: 1.2.3.4
Разрешить совпадение и совпадение блоков: 1.2.3.4
Разрешить не совпадать и Блокировать не соответствует:
- 1.2.3.4/a
- 11.2.3.4/a
IP-адрес с подстановочными знаками
Запись: 1.2.3.4/*
- Разрешить совпадение и совпадение блоков:
- 1.2.3.4/b
- 1.2.3.4/baaaa
Примеры недопустимых записей
Недопустимы следующие записи:
Отсутствующие или недопустимые значения домена:
- Contoso
- *.Contoso.*
- *.Com
Подстановочный знак в тексте или без интервалов:
- *contoso.com
- contoso.com*
- *1.2.3.4
- 1.2.3.4*
- contoso.com/a*
- contoso.com/ab*
IP-адреса с портами:
- contoso.com:443
- abc.contoso.com:25
Неописуемые подстановочные знаки:
- *
- *.*
Средние подстановочные знаки:
- conto*so.com
- conto~so.com
Двойные подстановочные знаки
- contoso.com/**
- contoso.com/*/*
Связанные статьи
- Используйте страницу Отправки для отправки в корпорацию Майкрософт подозрительных сообщений о спаме, фишинге, URL-адресах, блокировке допустимых сообщений электронной почты и вложений электронной почты.
- Отчет о ложноположительных и ложноотрицательных результатах
- Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов
- Разрешить или заблокировать файлы в списке разрешенных и заблокированных клиентов
- Разрешить или заблокировать сообщения электронной почты в списке разрешенных и заблокированных клиентов
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по