Tillåt eller blockera filer med hjälp av listan över tillåtna/blockerade klientorganisationer

• Gäller för:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.

I Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection organisationer (EOP) utan Exchange Online postlådor kan administratörer skapa och hantera poster för filer i listan Tillåt/blockera klientorganisation. Mer information om listan över tillåtna/blockerade klientorganisationer finns i Hantera tillåtna och block i listan Tillåt/blockera klientorganisation.

Den här artikeln beskriver hur administratörer kan hantera poster för filer i Microsoft Defender-portalen och i Exchange Online PowerShell.

Vad behöver jag veta innan jag börjar?

• Du öppnar Microsoft Defender-portalen på https://security.microsoft.com. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList. Om du vill gå direkt till sidan Inskickade filer använder du https://security.microsoft.com/reportsubmission.

• Information om hur du använder Windows PowerShell för att ansluta till Exchange Online finns i artikeln om att ansluta till Exchange Online PowerShell. Information om hur du ansluter till fristående EOP PowerShell finns i Anslut till Exchange Online Protection PowerShell.

• Du anger filer med sha256-hashvärdet för filen. Om du vill hitta SHA256-hashvärdet för en fil i Windows kör du följande kommando i en kommandotolk:

  certutil.exe -hashfile "<Path>\<Filename>" SHA256
  

  Ett exempelvärde är 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. Perceptuella hashvärden (pHash) stöds inte.

• Inmatningsgränser för filer:

  • Exchange Online Protection: Det maximala antalet tillåtna poster är 500 och det maximala antalet blockposter är 500 (totalt 1 000 filposter).
  • Defender för Office 365 plan 1: Det maximala antalet tillåtna poster är 1 000 och det maximala antalet blockposter är 1 000 (totalt 2 000 filposter).
  • Defender för Office 365 plan 2: Det maximala antalet tillåtna poster är 5 000 och det maximala antalet blockposter är 1 0000 (totalt 1 5 000 filposter).

• Du kan ange högst 64 tecken i en filpost.

• En post ska vara aktiv inom 5 minuter.

• Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Du har även följande alternativ:

  • Microsoft Defender XDR Enhetlig rollbaserad åtkomstkontroll (RBAC) (Om Email & samarbete>Exchange Online behörigheter är Aktiv. Påverkar endast Defender-portalen, inte PowerShell): Auktorisering och inställningar/Säkerhetsinställningar/Identifieringsjustering (hantera) eller auktorisering och inställningar/Säkerhetsinställningar/Kärnsäkerhetsinställningar (läs).

  • Exchange Online behörigheter:

    • Lägg till och ta bort poster från listan Tillåt/blockera klientorganisation: Medlemskap i någon av följande rollgrupper:
      • Organisationshantering eller säkerhetsadministratör (rollen Säkerhetsadministratör).
      • Säkerhetsoperatör (Tenant AllowBlockList Manager).
    • Skrivskyddad åtkomst till listan Tillåt/blockera klientorganisation: Medlemskap i någon av följande rollgrupper:
      • Global läsare
      • Säkerhetsläsare
      • Konfiguration med endast visning
      • Visa endast organisationshantering

  • Microsoft Entra behörigheter: Medlemskap i rollerna Global administratör^*, Säkerhetsadministratör, Global läsare eller Säkerhetsläsare ger användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365.

    Viktigt

    ^* Microsoft rekommenderar att du använder roller med minst behörighet. Genom att använda konton med lägre behörighet kan du förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.

• Fliken Filer är endast tillgänglig på sidan Inskickade filer i organisationer med Microsoft Defender XDR eller Microsoft Defender för Endpoint plan 2. Information och instruktioner för att skicka filer från fliken Filer finns i Skicka filer i Microsoft Defender för Endpoint.

Skapa tillåtna poster för filer

Du kan inte skapa tillåtna poster för filer direkt i listan Tillåt/blockera klientorganisation. Onödiga tillåt-poster exponerar din organisation för skadlig e-post som skulle ha filtrerats av systemet.

I stället använder du fliken Email bifogade filer på sidan Inskickade filer på https://security.microsoft.com/reportsubmission?viewid=emailAttachment. När du skickar in en blockerad fil som jag har bekräftat att den är ren kan du välja Tillåt att den här filen lägger till en tillåten post för filen på fliken Filer på sidan Tillåt/blockera klientorganisation/blockera Listor. Anvisningar finns i Skicka bra e-postbilagor till Microsoft.

Tips

Tillåt att poster från inlämningar läggs till under e-postflödet baserat på filtren som fastställde att meddelandet var skadligt. Om till exempel avsändarens e-postadress och en URL i meddelandet bedöms vara skadliga skapas en tillåten post för avsändaren (e-postadressen eller domänen) och URL:en.

Om meddelanden som innehåller entiteterna i tillåtna poster skickar andra kontroller i filtreringsstacken under e-postflöde eller klicktid levereras meddelandena (alla filter som är associerade med de tillåtna entiteterna hoppas över). Om ett meddelande till exempel skickar e-postautentiseringskontroller, URL-filtrering och filfiltrering levereras ett meddelande från en tillåten avsändares e-postadress om det också kommer från en tillåten avsändare.

Tillåt som standard poster för domäner och e-postadresser, filer och URL:er sparas i 45 dagar efter att filtreringssystemet har fastställt att entiteten är ren och sedan tas tillåtna posten bort. Du kan också ange att tillåt att poster upphör att gälla upp till 30 dagar efter att du har skapat dem. Tillåt poster för falska avsändare upphör aldrig att gälla.

När du klickar åsidosätter filens tillåtna post alla filter som är associerade med filentiteten, vilket gör att användarna kan komma åt filen.

Skapa blockposter för filer

Email meddelanden som innehåller dessa blockerade filer blockeras som skadlig kod. Meddelanden som innehåller de blockerade filerna sätts i karantän.

Om du vill skapa blockposter för filer använder du någon av följande metoder:

• Från fliken Email bifogade filer på sidan Inskickade filer på https://security.microsoft.com/reportsubmission?viewid=emailAttachment. När du skickar en fil eftersom jag har bekräftat att det är ett hot kan du välja Blockera den här filen för att lägga till en blockpost på fliken Filer på sidan Tillåt/blockera klientorganisation/blockera Listor. Anvisningar finns i Rapportera tvivelaktiga e-postbilagor till Microsoft.

• Från fliken Filer på sidan Tillåt/blockera klientorganisation Listor eller i PowerShell enligt beskrivningen i det här avsnittet.

Använd Microsoft Defender-portalen för att skapa blockposter för filer i listan Tillåt/blockera klientorganisation

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till avsnittet >Principer & regler>för hotprinciper>förklientorganisation/blockera Listor. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.

2. På sidan Tillåt/blockera klientorganisation Listor väljer du fliken Filer.

3. På fliken Filer väljer du Blockera.

4. I den utfällbara menyn Blockera filer som öppnas konfigurerar du följande inställningar:

   • Lägg till filhashvärden: Ange ett SHA256-hashvärde per rad, upp till högst 20.

   • Ta bort blockpost efter: Välj från följande värden:

     • 1 dag
     • 7 dagar
     • 30 dagar (standard)
     • Upphör aldrig att gälla
     • Specifikt datum: Det maximala värdet är 90 dagar från idag.

   • Valfri anteckning: Ange beskrivande text för varför du blockerar filerna.

   När du är klar i den utfällbara menyn Blockera filer väljer du Lägg till.

På fliken Filer visas posten.

Använda PowerShell för att skapa blockposter för filer i listan Tillåt/blockera klientorganisation

Använd följande syntax i Exchange Online PowerShell:

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

Det här exemplet lägger till en blockpost för de angivna filerna som aldrig upphör att gälla.

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

Detaljerad information om syntax och parametrar finns i New-TenantAllowBlockListItems.

Använd Microsoft Defender-portalen för att visa poster för filer i listan Tillåt/blockera klientorganisation

I Microsoft Defender-portalen på https://security.microsoft.comgår du till Principer & regler>Hotprinciper>Tillåt/blockera Listor i avsnittet Regler. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.

Välj fliken Filer .

På fliken Filer kan du sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Följande kolumner är tillgängliga:

• Värde: Filhashen.
• Åtgärd: De tillgängliga värdena är Tillåt eller Blockera.
• Ändrad av
• Senast uppdaterad
• Senast använt datum: Datumet då posten senast användes i filtreringssystemet för att åsidosätta domen.
• Ta bort den: Förfallodatumet.
• Kommentarer

Om du vill filtrera posterna väljer du Filtrera. Följande filter är tillgängliga i den utfällbara menyn Filter som öppnas:

• Åtgärd: De tillgängliga värdena är Tillåt och Blockera.
• Upphör aldrig att gälla: eller
• Uppdaterades senast: Välj Från - och Till-datum .
• Senast använda datum: Välj Från - och Till-datum .
• Ta bort på: Välj Från - och Till-datum .

När du är klar i den utfällbara menyn Filter väljer du Använd. Om du vill rensa filtren väljer du Rensa filter.

Använd sökrutan och ett motsvarande värde för att hitta specifika poster.

Om du vill gruppera posterna väljer du Grupp och sedan Åtgärd. Om du vill dela upp posterna väljer du Ingen.

Använd PowerShell för att visa poster för filer i listan Tillåt/blockera klientorganisation

Använd följande syntax i Exchange Online PowerShell:

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

Det här exemplet returnerar alla tillåtna och blockerade filer.

Get-TenantAllowBlockListItems -ListType FileHash

Det här exemplet returnerar information för det angivna filhashvärdet.

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

Det här exemplet filtrerar resultatet efter blockerade filer.

Get-TenantAllowBlockListItems -ListType FileHash -Block

Detaljerad information om syntax och parametrar finns i Get-TenantAllowBlockListItems.

Använd Microsoft Defender-portalen för att ändra poster för filer i listan Tillåt/blockera klientorganisation

I befintliga filposter kan du ändra förfallodatum och anteckning.

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till avsnittet >Principer & regler>för hotprinciper>förklientorganisation/blockera Listor. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.

2. Välj fliken Filer

3. På fliken Filer markerar du posten i listan genom att markera kryssrutan bredvid den första kolumnen och sedan välja åtgärden Redigera som visas.

4. I den utfällbara menyn Redigera fil som öppnas är följande inställningar tillgängliga:

   • Blockera poster:
     • Ta bort blockpost efter: Välj från följande värden:
       • 1 dag
       • 7 dagar
       • 30 dagar
       • Upphör aldrig att gälla
       • Specifikt datum: Det maximala värdet är 90 dagar från idag.
     • Valfri anteckning
   • Tillåt poster:
     • Ta bort tillåt post efter: Välj från följande värden:
       • 1 dag
       • 7 dagar
       • 30 dagar
       • 45 dagar efter senast använt datum
       • Specifikt datum: Det maximala värdet är 30 dagar från idag.
     • Valfri anteckning

   När du är klar med den utfällbara menyn Redigera fil väljer du Spara.

Tips

I den utfällbara menyn med information om en post på fliken Filer använder du Visa sändning överst i den utfällbara menyn för att gå till informationen om motsvarande post på sidan Inskickade filer . Den här åtgärden är tillgänglig om en överföring var ansvarig för att skapa posten i listan Tillåt/blockera klientorganisation.

Använd PowerShell för att ändra befintliga tillåtna eller blockera poster för filer i listan Tillåt/blockera klientorganisation

Använd följande syntax i Exchange Online PowerShell:

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

I det här exemplet ändras förfallodatumet för den angivna filblocksposten.

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

Detaljerad information om syntax och parametrar finns i Set-TenantAllowBlockListItems.

Använd Microsoft Defender-portalen för att ta bort poster för filer från listan Tillåt/blockera klientorganisation

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till avsnittet >Principer & regler>för hotprinciper>förklientorganisation/blockera Listor. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.

2. Välj fliken Filer .

3. Gör något av följande på fliken Filer :

   • Markera posten i listan genom att markera kryssrutan bredvid den första kolumnen och välj sedan åtgärden Ta bort som visas.

   • Markera posten i listan genom att klicka någon annanstans på raden än kryssrutan. I den utfällbara menyn information som öppnas väljer du Ta bort överst i den utfällbara menyn.

     Tips

     Om du vill se information om andra poster utan att lämna informationen utfälld använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.

4. I varningsdialogrutan som öppnas väljer du Ta bort.

På fliken Filer visas inte längre posten.

Tips

Du kan markera flera poster genom att markera varje kryssruta eller markera alla poster genom att markera kryssrutan bredvid kolumnrubriken Värde .

Använd PowerShell för att ta bort poster för filer från listan Tillåt/blockera klientorganisation

Använd följande syntax i Exchange Online PowerShell:

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

Det här exemplet tar bort det angivna filblocket från listan Tillåt/blockera klientorganisation.

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

Detaljerad information om syntax och parametrar finns i Remove-TenantAllowBlockListItems.

Relaterade artiklar

• Använd sidan Inskickade filer för att skicka misstänkt skräppost, nätfiske, URL:er, legitim e-post som blockeras och e-postbilagor till Microsoft
• Rapportera falska positiva identifieringar och falska negativa identifieringar
• Hantera tillåtna och block i listan Tillåt/blockera klientorganisation
• Tillåt eller blockera e-postmeddelanden i listan Tillåt/blockera klientorganisation
• Tillåt eller blockera URL:er i listan Tillåt/blockera klientorganisation
• Tillåt eller blockera IPv6-adresser i listan Tillåt/blockera klientorganisation