Tillåt eller blockera URL:er med hjälp av listan över tillåtna/blockerade klientorganisationer

• Gäller för:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.

I Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection(EOP)-organisationer utan Exchange Online postlådor kan administratörer skapa och hantera poster för URL:er i listan Tillåt/blockera klientorganisation. Mer information om listan över tillåtna/blockerade klientorganisationer finns i Hantera tillåtna och block i listan Tillåt/blockera klientorganisation.

Obs!

Om du vill tillåta nätfiske-URL:er från nätfiskesimuleringar från tredje part använder du den avancerade leveranskonfigurationen för att ange URL:erna. Använd inte listan Tillåt/blockera klientorganisation.

Den här artikeln beskriver hur administratörer kan hantera poster för URL:er i Microsoft Defender-portalen och i Exchange Online PowerShell.

Vad behöver jag veta innan jag börjar?

• Du öppnar Microsoft Defender-portalen på https://security.microsoft.com. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation använder du https://security.microsoft.com/tenantAllowBlockList. Om du vill gå direkt till sidan Inskickade filer använder du https://security.microsoft.com/reportsubmission.

• Information om hur du använder Windows PowerShell för att ansluta till Exchange Online finns i artikeln om att ansluta till Exchange Online PowerShell. Information om hur du ansluter till fristående EOP PowerShell finns i Anslut till Exchange Online Protection PowerShell.

• Syntax för URL-inmatning finns i URL-syntaxen för avsnittet Tillåt/blockera lista för klientorganisation senare i den här artikeln.

• • Inmatningsgränser för URL:er:
  • Exchange Online Protection: Det maximala antalet tillåtna poster är 500 och det maximala antalet blockposter är 500 (totalt 1 000 URL-poster).
  • Defender för Office 365 plan 1: Det maximala antalet tillåtna poster är 1 000 och det maximala antalet blockposter är 1 000 (totalt 2 000 URL-poster).
  • Defender för Office 365 plan 2: Det maximala antalet tillåtna poster är 5 000 och det maximala antalet blockposter är 1 0000 (totalt 1 5 000 URL-poster).

• Du kan ange högst 250 tecken i en URL-post.

• En post ska vara aktiv inom 5 minuter.

• Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Du har även följande alternativ:

  • Microsoft Defender XDR Enhetlig rollbaserad åtkomstkontroll (RBAC) (Om Email & samarbete>Defender för Office 365 behörigheter är Aktiva. Påverkar endast Defender-portalen, inte PowerShell):

    • Lägg till och ta bort poster från listan Tillåt/blockera klientorganisation: Medlemskap som tilldelats följande behörigheter:
      • Auktorisering och inställningar/Säkerhetsinställningar/Identifieringsjustering (hantera)
    • Skrivskyddad åtkomst till listan Tillåt/blockera klientorganisation:
      • Auktorisering och inställningar/Säkerhetsinställningar/Skrivskyddad.
      • Auktorisering och inställningar/Säkerhetsinställningar/Grundläggande säkerhetsinställningar (läs).

  • Exchange Online behörigheter:

    • Lägg till och ta bort poster från listan Tillåt/blockera klientorganisation: Medlemskap i någon av följande rollgrupper:
      • Organisationshantering eller säkerhetsadministratör (rollen Säkerhetsadministratör).
      • Säkerhetsoperatör (Tenant AllowBlockList Manager).
    • Skrivskyddad åtkomst till listan Tillåt/blockera klientorganisation: Medlemskap i någon av följande rollgrupper:
      • Global läsare
      • Säkerhetsläsare
      • Konfiguration med endast visning
      • Visa endast organisationshantering

  • Microsoft Entra behörigheter: Medlemskap i rollerna Global administratör^*, Säkerhetsadministratör, Global läsare eller Säkerhetsläsare ger användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365.

    Viktigt

    ^* Microsoft rekommenderar att du använder roller med minst behörighet. Genom att använda konton med lägre behörighet kan du förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.

Skapa tillåtna poster för URL:er

Du kan inte skapa tillåtna poster för URL:er direkt i listan Tillåt/blockera klientorganisation. Onödiga tillåt-poster exponerar din organisation för skadlig e-post som skulle ha filtrerats av systemet.

I stället använder du fliken URL:er på sidan Inskickade filer på https://security.microsoft.com/reportsubmission?viewid=url. När du skickar en blockerad URL som jag har bekräftat att den är ren kan du välja Tillåt den här URL:en att lägga till och tillåta post för URL:en på fliken URL:er på sidan Tillåt/blockera klientorganisation Listor. Anvisningar finns i Rapportera bra URL:er till Microsoft.

Tips

Tillåt att poster från inlämningar läggs till under e-postflödet baserat på filtren som fastställde att meddelandet var skadligt. Om till exempel avsändarens e-postadress och en URL i meddelandet bedöms vara skadliga skapas en tillåten post för avsändaren (e-postadressen eller domänen) och URL:en.

Om meddelanden som innehåller entiteterna i tillåtna poster skickar andra kontroller i filtreringsstacken under e-postflöde eller klicktid levereras meddelandena (alla filter som är associerade med de tillåtna entiteterna hoppas över). Om ett meddelande till exempel skickar e-postautentiseringskontroller, URL-filtrering och filfiltrering levereras ett meddelande från en tillåten avsändares e-postadress om det också kommer från en tillåten avsändare.

Tillåt som standard poster för domäner och e-postadresser, filer och URL:er sparas i 45 dagar efter att filtreringssystemet har fastställt att entiteten är ren och sedan tas tillåtna posten bort. Du kan också ange att tillåt att poster upphör att gälla upp till 30 dagar efter att du har skapat dem. Tillåt poster för falska avsändare upphör aldrig att gälla.

När du klickar åsidosätter url-posten alla filter som är associerade med URL-entiteten, vilket gör att användarna kan komma åt URL:en.

En URL-tillåten post förhindrar inte att URL:en omsluts av skydd mot säkra länkar i Defender för Office 365. Mer information finns i Skriv inte om listan i SafeLinks.

Skapa blockposter för URL:er

Email meddelanden som innehåller dessa blockerade URL:er blockeras som nätfiske med hög konfidens. Meddelanden som innehåller blockerade URL:er sätts i karantän.

Om du vill skapa blockposter för URL:er använder du någon av följande metoder:

Du har följande alternativ för att skapa blockposter för URL:er:

• Från fliken URL:er på sidan Inskickade filer på https://security.microsoft.com/reportsubmission?viewid=url. När du skickar ett meddelande eftersom jag har bekräftat att det är ett hot kan du välja Blockera den här URL:en för att lägga till en blockpost på fliken URL:er på sidan Tillåt/blockera klientorganisation/blockera Listor. Anvisningar finns i Rapportera tvivelaktiga URL:er till Microsoft.

• Från fliken URL:er på sidan Tillåt/blockera klientorganisation/blockera Listor eller i PowerShell enligt beskrivningen i det här avsnittet.

Använd Microsoft Defender-portalen för att skapa blockposter för URL:er i listan Tillåt/blockera klientorganisation

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till avsnittet >Principer & regler>för hotprinciper>förklientorganisation/blockera Listor. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation använder du https://security.microsoft.com/tenantAllowBlockList.

2. På sidan Tillåt/blockera klientorganisation väljer du fliken URL:er .

3. På fliken URL:er väljer du Blockera.

4. I den utfällbara menyn Blockera URL:er som öppnas konfigurerar du följande inställningar:

   • Lägg till URL:er med jokertecken: Ange en URL per rad, upp till högst 20. Mer information om syntaxen för URL-poster finns i URL-syntaxen för avsnittet Tillåt/blockera klientorganisation senare i den här artikeln.

   • Ta bort blockpost efter: Välj från följande värden:

     • Upphör aldrig att gälla
     • 1 dag
     • 7 dagar
     • 30 dagar (standard)
     • Specifikt datum: Det maximala värdet är 90 dagar från idag.

   • Valfri anteckning: Ange beskrivande text för varför du blockerar URL:erna.

   När du är klar med den utfällbara menyn Blockera URL:er väljer du Lägg till.

På fliken URL:er visas posten.

Använd PowerShell för att skapa blockposter för URL:er i listan Tillåt/blockera klientorganisation

Använd följande syntax i Exchange Online PowerShell:

New-TenantAllowBlockListItems -ListType Url -Block -Entries "Value1","Value2",..."ValueN" <-ExpirationDate <Date> | -NoExpiration> [-Notes <String>]

Det här exemplet lägger till en blockpost för URL-contoso.com och alla underdomäner (till exempel contoso.com och xyz.abc.contoso.com). Eftersom vi inte använde parametrarna ExpirationDate eller NoExpiration upphör posten att gälla efter 30 dagar.

New-TenantAllowBlockListItems -ListType Url -Block -Entries *contoso.com

Detaljerad information om syntax och parametrar finns i New-TenantAllowBlockListItems.

Använd Microsoft Defender-portalen för att visa poster för URL:er i listan Tillåt/blockera klientorganisation

I Microsoft Defender-portalen på https://security.microsoft.comgår du till Principer & regler>Hotprinciper>Tillåt/blockera Listor i avsnittet Regler. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.

Välj fliken URL:er .

På fliken URL:er kan du sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Följande kolumner är tillgängliga:

• Värde: URL:en.
• Åtgärd: De tillgängliga värdena är Tillåt eller Blockera.
• Ändrad av
• Senast uppdaterad
• Senast använt datum: Datumet då posten senast användes i filtreringssystemet för att åsidosätta domen.
• Ta bort den: Förfallodatumet.
• Kommentarer

Om du vill filtrera posterna väljer du Filtrera. Följande filter är tillgängliga i den utfällbara menyn Filter som öppnas:

• Åtgärd: De tillgängliga värdena är Tillåt och Blockera.
• Upphör aldrig att gälla: eller
• Uppdaterades senast: Välj Från - och Till-datum .
• Senast använda datum: Välj Från - och Till-datum .
• Ta bort på: Välj Från - och Till-datum .

När du är klar i den utfällbara menyn Filter väljer du Använd. Om du vill rensa filtren väljer du Rensa filter.

Använd sökrutan och ett motsvarande värde för att hitta specifika poster.

Om du vill gruppera posterna väljer du Grupp och sedan Åtgärd. Om du vill dela upp posterna väljer du Ingen.

Använd PowerShell för att visa poster för URL:er i listan Tillåt/blockera klientorganisation

Använd följande syntax i Exchange Online PowerShell:

Get-TenantAllowBlockListItems -ListType Url [-Allow] [-Block] [-Entry <URLValue>] [<-ExpirationDate <Date> | -NoExpiration>]

Det här exemplet returnerar alla tillåtna och blockerade URL:er.

Get-TenantAllowBlockListItems -ListType Url

Det här exemplet filtrerar resultatet efter blockerade URL:er.

Get-TenantAllowBlockListItems -ListType Url -Block

Detaljerad information om syntax och parametrar finns i Get-TenantAllowBlockListItems.

Använd Microsoft Defender-portalen för att ändra poster för URL:er i listan Tillåt/blockera klientorganisation

I befintliga URL-poster kan du ändra förfallodatum och anteckning.

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till avsnittet >Principer & regler>för hotprinciper>förklientorganisation/blockera Listor. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.

2. Välj fliken URL:er

3. På fliken URL:er markerar du posten i listan genom att markera kryssrutan bredvid den första kolumnen och sedan välja åtgärden Redigera som visas.

4. I den utfällbara menyn Redigera URL som öppnas är följande inställningar tillgängliga:

   • Blockera poster:
     • Ta bort blockpost efter: Välj från följande värden:
       • 1 dag
       • 7 dagar
       • 30 dagar
       • Upphör aldrig att gälla
       • Specifikt datum: Det maximala värdet är 90 dagar från idag.
     • Valfri anteckning
   • Tillåt poster:
     • Ta bort tillåt post efter: Välj från följande värden:
       • 1 dag
       • 7 dagar
       • 30 dagar
       • 45 dagar efter senast använt datum
       • Specifikt datum: Det maximala värdet är 30 dagar från idag.
     • Valfri anteckning

   När du är klar med den utfällbara menyn Redigera URL väljer du Spara.

Tips

I den utfällbara menyn med information om en post på fliken URL:er använder du Visa sändning överst i den utfällbara menyn för att gå till informationen om motsvarande post på sidan Inskickade filer . Den här åtgärden är tillgänglig om en överföring var ansvarig för att skapa posten i listan Tillåt/blockera klientorganisation.

Använda PowerShell för att ändra poster för URL:er i listan tillåt/blockera klientorganisation

Använd följande syntax i Exchange Online PowerShell:

Set-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

I det här exemplet ändras förfallodatumet för blockposten för den angivna URL:en.

Set-TenantAllowBlockListItems -ListType Url -Entries "~contoso.com" -ExpirationDate "9/1/2022"

Detaljerad information om syntax och parametrar finns i Set-TenantAllowBlockListItems.

Använd Microsoft Defender-portalen för att ta bort poster för URL:er från listan över tillåtna/blockerade klientorganisationer

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till avsnittet >Principer & regler>för hotprinciper>förklientorganisation/blockera Listor. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation använder du https://security.microsoft.com/tenantAllowBlockList.

2. Välj fliken URL:er .

3. Gör något av följande på fliken URL:er :

   • Markera posten i listan genom att markera kryssrutan bredvid den första kolumnen och välj sedan åtgärden Ta bort som visas.

   • Markera posten i listan genom att klicka någon annanstans på raden än kryssrutan. I den utfällbara menyn information som öppnas väljer du Ta bort överst i den utfällbara menyn.

     Tips

     Om du vill se information om andra poster utan att lämna informationen utfälld använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.

4. I varningsdialogrutan som öppnas väljer du Ta bort.

På fliken URL:er visas inte längre posten.

Tips

Du kan markera flera poster genom att markera varje kryssruta eller markera alla poster genom att markera kryssrutan bredvid kolumnrubriken Värde .

Använd PowerShell för att ta bort poster för URL:er från listan över tillåtna/blockerade klientorganisationer

Använd följande syntax i Exchange Online PowerShell:

Remove-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>>

Det här exemplet tar bort blockposten för den angivna URL:en från listan Tillåt/blockera klientorganisation.

Remove-TenantAllowBlockListItems -ListType Url -Entries "*cohovineyard.com

Detaljerad information om syntax och parametrar finns i Remove-TenantAllowBlockListItems.

URL-syntax för listan över tillåtna/blockerade klientorganisationer

• IPv4- och IPv6-adresser tillåts, men det är inte TCP/UDP-portar.

• Filnamnstillägg tillåts inte (till exempel test.pdf).

• Unicode stöds inte, men Punycode är det.

• Värdnamn tillåts om alla följande instruktioner är sanna:

  • Värdnamnet innehåller en punkt.
  • Det finns minst ett tecken till vänster om perioden.
  • Det finns minst två tecken till höger om perioden.

  Till exempel t.co tillåts .com eller contoso. tillåts inte.

• Undersökvägar är inte underförstådda för tillåtna.

  Inkluderar contoso.com/atill exempel contoso.com inte .

• Jokertecken (*) tillåts i följande scenarier:

  • Ett vänster jokertecken måste följas av en punkt för att ange en underdomän. (gäller endast för block)

    Tillåts till exempel *.contoso.com . *contoso.com Tillåts inte.

  • Ett höger jokertecken måste följa ett snedstreck (/) för att ange en sökväg.

    Till exempel contoso.com/* tillåts contoso.com* eller contoso.com/ab* tillåts inte.

  • *.com* är ogiltigt (inte en matchningsbar domän och det högra jokertecknet följer inte ett snedstreck).

  • Jokertecken tillåts inte i IP-adresser.

• Tilde-tecknet (~) är tillgängligt i följande scenarier:

  • En vänster tilde innebär en domän och alla underdomäner.

    Till exempel ~contoso.com inkluderar contoso.com och *.contoso.com.

• Ett användarnamn eller lösenord stöds inte eller krävs inte.

• Citattecken (' eller ") är ogiltiga tecken.

• En URL bör innehålla alla omdirigeringar där det är möjligt.

Scenarier för URL-inmatning

Giltiga URL-poster och deras resultat beskrivs i följande underavsnitt.

Scenario: Blockering av toppnivådomäner

Post: *.<TLD>/*

• Blockmatchning:
  • a.TLD
  • TLD/abcd
  • b.abcd.TLD
  • TLD/contoso.com
  • TLD/q=contoso.com
  • www.abcd.com\xyz.TLD
  • www.abcd.com\xyz.TLD?q=1234
  • www.abcd.TLD
  • www.abcd.TLD/q=a@contoso.com

Scenario: Inga jokertecken

Post: contoso.com

• Tillåt matchning: contoso.com

• Tillåt matchas inte:

  • abc-contoso.com
  • contoso.com/a
  • abc.xyz.contoso.com/a/b/c
  • payroll.contoso.com
  • test.com/contoso.com
  • test.com/q=contoso.com
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

• Blockmatchning:

  • contoso.com
  • contoso.com/a
  • abc.xyz.contoso.com/a/b/c
  • payroll.contoso.com
  • test.com/contoso.com
  • test.com/q=contoso.com
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

• Blockera matchas inte: abc-contoso.com

Scenario: Vänster jokertecken (underdomän)

Tips

Tillåt poster i det här mönstret stöds endast från avancerad leveranskonfiguration.

Post: *.contoso.com

• Tillåt matchning och blockmatchning:

  • www.contoso.com
  • xyz.abc.contoso.com

• Tillåt inte matchning och Blockera matchas inte:

  • 123contoso.com
  • contoso.com
  • test.com/contoso.com
  • www.contoso.com/abc

Scenario: Höger jokertecken överst i sökvägen

Post: contoso.com/a/*

• Tillåt matchning och blockmatchning:

  • contoso.com/a/b
  • contoso.com/a/b/c
  • contoso.com/a/?q=joe@t.com

• Tillåt inte matchning och Blockera matchas inte:

  • contoso.com
  • contoso.com/a
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

Scenario: Vänster tilde

Tips

Tillåt poster i det här mönstret stöds endast från avancerad leveranskonfiguration.

Post: ~contoso.com

• Tillåt matchning och blockmatchning:

  • contoso.com
  • www.contoso.com
  • xyz.abc.contoso.com

• Tillåt inte matchning och Blockera matchas inte:

  • 123contoso.com
  • contoso.com/abc
  • www.contoso.com/abc

Scenario: Höger jokerteckenssuffix

Post: contoso.com/*

• Tillåt matchning och blockmatchning:

  • contoso.com/?q=whatever@fabrikam.com
  • contoso.com/a
  • contoso.com/a/b/c
  • contoso.com/ab
  • contoso.com/b
  • contoso.com/b/a/c
  • contoso.com/ba

• Tillåt inte matchning och Blockera matchas inte: contoso.com

Scenario: Underdomän för vänster jokertecken och höger jokerteckenssuffix

Tips

Tillåt poster i det här mönstret stöds endast från avancerad leveranskonfiguration.

Post: *.contoso.com/*

• Tillåt matchning och blockmatchning:

  • abc.contoso.com/ab
  • abc.xyz.contoso.com/a/b/c
  • www.contoso.com/a
  • www.contoso.com/b/a/c
  • xyz.contoso.com/ba

• Tillåt inte matchad och Blockera matchas inte: contoso.com/b

Scenario: Vänster och höger tilde

Tips

Tillåt poster i det här mönstret stöds endast från avancerad leveranskonfiguration.

Post: ~contoso.com~

• Tillåt matchning och blockmatchning:

  • contoso.com
  • contoso.com/a
  • www.contoso.com
  • www.contoso.com/b
  • xyz.abc.contoso.com
  • abc.xyz.contoso.com/a/b/c
  • contoso.com/b/a/c
  • test.com/contoso.com

• Tillåt inte matchning och Blockera matchas inte:

  • 123contoso.com
  • contoso.org
  • test.com/q=contoso.com

Scenario: IP-adress

Post: 1.2.3.4

• Tillåt matchning och blockmatchning: 1.2.3.4

• Tillåt inte matchning och Blockera matchas inte:

  • 1.2.3.4/a
  • 11.2.3.4/a

IP-adress med höger jokertecken

Post: 1.2.3.4/*

• Tillåt matchning och blockmatchning:
  • 1.2.3.4/b
  • 1.2.3.4/baaaa

Exempel på ogiltiga poster

Följande poster är ogiltiga:

• Saknade eller ogiltiga domänvärden:

  • contoso
  • *.contoso.*
  • *.Com
  • *.pdf

• Jokertecken för text eller utan avståndstecken:

  • *contoso.com
  • contoso.com*
  • *1.2.3.4
  • 1.2.3.4*
  • contoso.com/a*
  • contoso.com/ab*

• IP-adresser med portar:

  • contoso.com:443
  • abc.contoso.com:25

• Icke-beskrivande jokertecken:

  • *
  • *.*

• Jokertecken i mitten:

  • conto*so.com
  • conto~so.com

• Dubbla jokertecken

  • contoso.com/**
  • contoso.com/*/*

Relaterade artiklar

• Använd sidan Inskickade filer för att skicka misstänkt skräppost, nätfiske, URL:er, legitim e-post som blockeras och e-postbilagor till Microsoft
• Rapportera falska positiva identifieringar och falska negativa identifieringar
• Hantera tillåtna och block i listan Tillåt/blockera klientorganisation
• Tillåt eller blockera filer i listan Tillåt/blockera klientorganisation
• Tillåt eller blockera e-postmeddelanden i listan Tillåt/blockera klientorganisation
• Tillåt eller blockera IPv6-adresser i listan Tillåt/blockera klientorganisation