使用租户允许/阻止列表允许或阻止 URL
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。
在 Microsoft 365 组织中,邮箱位于 Exchange Online 或独立Exchange Online Protection (EOP) 组织中没有Exchange Online邮箱,管理员可以创建和管理租户允许/阻止列表中的 URL 条目。 有关租户允许/阻止列表的详细信息,请参阅 管理租户允许/阻止列表中的允许和块。
注意
若要允许来自第三方网络钓鱼模拟的网络钓鱼 URL,请使用 高级传递配置 来指定 URL。 不要使用租户允许/阻止列表。
本文介绍了管理员如何在 Microsoft Defender 门户和 PowerShell Exchange Online 中管理 URL 的条目。
开始前,有必要了解什么?
在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到 “租户允许/阻止列表” 页,请使用 https://security.microsoft.com/tenantAllowBlockList。 若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell。 若要连接到独立 EOP PowerShell,请参阅连接到 Exchange Online Protection PowerShell。
有关 URL 条目语法,请参阅本文后面的 租户允许/阻止列表部分的 URL 语法 。
-
- URL 的入口限制:
- Exchange Online Protection:允许条目的最大数目为 500,块条目的最大数目为 500 (总共) 1000 个 URL 条目。
- Defender for Office 365计划 1:允许条目的最大数目为 1000,块条目的最大数目为 1000 (总共) 2000 个 URL 条目。
- Defender for Office 365计划 2:允许条目的最大数目为 5000,块条目的最大数目为 10000 (总共) 15000 个 URL 条目。
最多可以在 URL 条目中输入 250 个字符。
条目应在 5 分钟内处于活动状态。
需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:
- Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (仅影响 Defender 门户,而不会影响 PowerShell) :
- 在租户允许/阻止列表中添加和删除条目:分配有以下权限的成员身份:
- 授权和设置/安全设置/检测优化 (管理)
- 对租户允许/阻止列表的只读访问权限:
- 授权和设置/安全设置/只读。
- 授权和设置/安全设置/核心安全设置 (读取) 。
- 在租户允许/阻止列表中添加和删除条目:分配有以下权限的成员身份:
- Exchange Online权限:
- 在租户允许/阻止列表中添加和删除条目:以下角色组中的成员身份:
- 组织管理 或 安全管理员 (安全管理员角色) 。
- 安全操作员 (Tenant AllowBlockList Manager) 。
- 对租户允许/阻止列表的只读访问权限:以下角色组中的成员身份:
- 全局读取器
- 安全读取器
- 仅查看配置
- View-Only Organization Management
- 在租户允许/阻止列表中添加和删除条目:以下角色组中的成员身份:
- Microsoft Entra权限:全局管理员、安全管理员、全局读取者或安全读取者角色的成员身份为用户提供 Microsoft 365 中其他功能的所需权限和权限。
- Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (仅影响 Defender 门户,而不会影响 PowerShell) :
创建 URL 的允许条目
不能直接在租户允许/阻止列表中为 URL 创建允许条目。 不必要的允许条目向系统筛选的恶意电子邮件公开你的组织。
请改用位于 的“提交”页上https://security.microsoft.com/reportsubmission?viewid=url的“URL”选项卡。 将阻止的 URL 提交为不应阻止 (误报) ,可以在“租户允许/阻止Lists”页上的“URL”选项卡上选择“允许此 URL 添加并允许输入”。 有关说明,请参阅 向 Microsoft 报告正确的 URL。
注意
我们为在邮件流期间或单击时由筛选器确定为恶意的 URL 创建允许条目。
我们允许包含原始 URL 变体的后续消息。 例如,使用 “提交” 页报告错误阻止的 URL www.contoso.com/abc。 如果组织稍后收到包含 URL 的消息 (例如但不限于: www.contoso.com/abc、 www.contoso.com/abc?id=1、 www.contoso.com/abc/def/gty/uyt?id=5或 www.contoso.com/abc/whatver) ,则不会基于 URL 阻止该消息。 换句话说,无需向 Microsoft 报告相同 URL 的多个变体。
当在邮件流期间或单击) 时再次遇到允许条目中的实体 (时,将重写与该实体关联的所有筛选器。
默认情况下,允许 URL 的条目存在 30 天。 在这 30 天内,Microsoft 会从允许条目中学习并 删除它们或自动扩展它们。 Microsoft 从已删除的允许条目中得知后,将传递包含这些 URL 的消息,除非邮件中的其他内容被检测为恶意。
在邮件流期间,如果包含允许 URL 的邮件通过筛选堆栈中的其他检查,则会传递邮件。 例如,如果邮件通过 电子邮件身份验证检查 和文件筛选,则如果邮件还包含允许的 URL,则会传递该邮件。
在单击期间,URL 允许条目将覆盖与 URL 实体关联的所有筛选器,该实体允许用户访问 URL。
URL 允许条目不会阻止DEFENDER FOR OFFICE 365中的安全链接保护包装 URL。 有关详细信息,请参阅 不重写 SafeLinks 中的列表。
为 URL 创建块条目
Email包含这些阻止 URL 的邮件被阻止为高置信度钓鱼。 包含阻止 URL 的邮件将被隔离。
若要为 URL 创建块条目,请使用以下方法之一:
可以使用以下选项为 URL 创建块条目:
从 “提交” 页上https://security.microsoft.com/reportsubmission?viewid=url的 “URL” 选项卡。 提交为“应已阻止 (假负) 的消息时,可以选择”阻止此 URL“,将阻止项添加到”租户允许/阻止Lists“页上的”URL“选项卡。 有关说明,请参阅 向 Microsoft 报告可疑 URL。
从“租户允许/阻止Lists”页上的“URL”选项卡或在 PowerShell 中,如本部分所述。
使用Microsoft Defender门户为租户允许/阻止列表中的 URL 创建块条目
在 Microsoft Defender 门户中https://security.microsoft.com,转到“策略 & 规则>威胁策略>”部分“>租户允许/阻止Lists”。 或者,若要直接转到 “租户允许/阻止列表” 页,请使用 https://security.microsoft.com/tenantAllowBlockList。
在 “租户允许/阻止列表 ”页上,选择“ URL” 选项卡。
在“ URL ”选项卡上,选择“
阻止”。在打开的 “阻止 URL” 浮出控件中,配置以下设置:
使用通配符添加 URL:每行输入一个 URL,最多 20 个。 有关 URL 条目的语法的详细信息,请参阅本文后面的 租户允许/阻止列表的 URL 语法 部分。
删除后块条目:从以下值中进行选择:
- 永不过期
- 1 天
- 7 天
- 默认) (30 天
- 特定日期:最大值为从今天起的 90 天。
可选注意:输入描述性文本,了解阻止 URL 的原因。
完成“ 阻止 URL” 浮出控件后,选择“ 添加”。
返回“ URL ”选项卡,将列出条目。
使用 PowerShell 为租户允许/阻止列表中的 URL 创建块条目
在 Exchange Online PowerShell 中,使用以下语法:
New-TenantAllowBlockListItems -ListType Url -Block -Entries "Value1","Value2",..."ValueN" <-ExpirationDate <Date> | -NoExpiration> [-Notes <String>]
此示例为 URL contoso.com 以及所有子域添加一个块条目, (例如,contoso.com 和 xyz.abc.contoso.com) 。 由于未使用 ExpirationDate 或 NoExpiration 参数,因此条目将在 30 天后过期。
New-TenantAllowBlockListItems -ListType Url -Block -Entries *contoso.com
有关详细语法和参数信息,请参阅 New-TenantAllowBlockListItems。
使用Microsoft Defender门户查看租户允许/阻止列表中的 URL 条目
在 Microsoft Defender 门户中https://security.microsoft.com,转到“规则”部分中的策略 & 规则>威胁策略>租户允许/阻止Lists。 或者,若要直接转到租户允许/阻止Lists页,请使用 https://security.microsoft.com/tenantAllowBlockList。
选择“ URL” 选项卡。
在“ URL ”选项卡上,可以通过单击可用的列标题对条目进行排序。 以下列可用:
- 值:URL。
- 操作:可用值为 Allow 或 Block。
- 修改者
- 上次更新
- 删除日期:到期日期。
- 注意
若要筛选条目,请选择“ 
筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
- 操作:可用值为 Allow 和 Block。
- 永不过期:
或 
- 上次更新时间:选择 “从 ”和“ 到 ”日期。
- 删除日期:选择 “从 ”和“ 到 ”日期。
完成 筛选器 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 
清除筛选器”。
使用“
搜索”框和相应的值查找特定条目。
若要对条目进行分组,请选择“组”
,然后选择“操作”。 若要取消组合条目,请选择“ 无”。
使用 PowerShell 查看租户允许/阻止列表中的 URL 条目
在 Exchange Online PowerShell 中,使用以下语法:
Get-TenantAllowBlockListItems -ListType Url [-Allow] [-Block] [-Entry <URLValue>] [<-ExpirationDate <Date> | -NoExpiration>]
此示例返回所有允许和阻止的 URL。
Get-TenantAllowBlockListItems -ListType Url
此示例按阻止的 URL 筛选结果。
Get-TenantAllowBlockListItems -ListType Url -Block
有关详细语法和参数信息,请参阅 Get-TenantAllowBlockListItems。
使用Microsoft Defender门户修改租户允许/阻止列表中的 URL 条目
在现有 URL 条目中,可以更改到期日期和备注。
在 Microsoft Defender 门户中https://security.microsoft.com,转到“策略 & 规则>威胁策略>”部分“>租户允许/阻止Lists”。 或者,若要直接转到租户允许/阻止Lists页,请使用 https://security.microsoft.com/tenantAllowBlockList。
选择“ URL ”选项卡
在“URL”选项卡上,通过选择第一列旁边的“检查”框,从列表中选择条目,然后选择
出现的“编辑”操作。在打开的 “编辑 URL” 浮出控件中,可以使用以下设置:
- 阻止条目:
- 删除后块条目:从以下值中进行选择:
- 1 天
- 7 天
- 30 天
- 永不过期
- 特定日期:最大值为从今天起的 90 天。
- 可选备注
- 删除后块条目:从以下值中进行选择:
- 允许条目:
- 删除允许项后:从以下值中进行选择:
- 1 天
- 7 天
- 30 天
- 特定日期:最大值为从今天开始的 30 天。
- 可选备注
- 删除允许项后:从以下值中进行选择:
完成 “编辑 URL” 浮出控件后,选择“ 保存”。
- 阻止条目:
提示
在“URL”选项卡上条目的详细信息浮出控件中,使用
浮出控件顶部的“查看提交”转到“提交”页上相应条目的详细信息。 如果提交负责在租户允许/阻止列表中创建条目,则此操作可用。
使用 PowerShell 修改租户允许/阻止列表中的 URL 条目
在 Exchange Online PowerShell 中,使用以下语法:
Set-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
此示例更改指定 URL 的块条目的到期日期。
Set-TenantAllowBlockListItems -ListType Url -Entries "~contoso.com" -ExpirationDate "9/1/2022"
有关详细语法和参数信息,请参阅 Set-TenantAllowBlockListItems。
使用Microsoft Defender门户从租户允许/阻止列表中删除 URL 条目
在 Microsoft Defender 门户中https://security.microsoft.com,转到“策略 & 规则>威胁策略>”部分“>租户允许/阻止Lists”。 或者,若要直接转到 “租户允许/阻止列表” 页,请使用 https://security.microsoft.com/tenantAllowBlockList。
选择“ URL” 选项卡。
在“ URL ”选项卡上,执行以下步骤之一:
选择列表中的条目,方法是选择第一列旁边的检查框,然后选择
显示的“删除”操作。单击行中除“检查”框以外的任意位置,从列表中选择条目。 在打开的详细信息浮出控件中,选择浮出控件顶部的“
删除 ”。提示
若要查看有关其他条目的详细信息而不离开详细信息浮出控件,请使用
浮出控件顶部的“上一项”和“下一项”。
在打开的警告对话框中,选择“ 删除”。
返回“ URL ”选项卡,不再列出条目。
提示
可以通过选择每个检查框来选择多个条目,或者通过选择值列标题旁边的检查框来选择所有条目。
使用 PowerShell 从租户允许/阻止列表中删除 URL 条目
在 Exchange Online PowerShell 中,使用以下语法:
Remove-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>>
此示例从租户允许/阻止列表中删除指定 URL 的块条目。
Remove-TenantAllowBlockListItems -ListType Url -Entries "*cohovineyard.com
有关详细语法和参数信息,请参阅 Remove-TenantAllowBlockListItems。
租户允许/阻止列表的 URL 语法
允许使用 IPv4 和 IPv6 地址,但不允许使用 TCP/UDP 端口。
(不允许使用文件扩展名,例如,test.pdf) 。
不支持 Unicode,但支持 Punycode。
如果以下所有语句都为 true,则允许使用主机名:
- 主机名包含句点。
- 句点左侧至少有一个字符。
- 句点右侧至少有两个字符。
例如,
t.co允许;.com或contoso.不允许。对于允许,子路径并不隐含。
例如,
contoso.com不包括contoso.com/a。在以下情况下,允许使用通配符 (*) :
左通配符后跟句点才能指定子域。 (仅适用于块)
例如,
*.contoso.com允许;*contoso.com不允许。右通配符必须跟在 /) (正斜杠后面才能指定路径。
例如,
contoso.com/*允许;contoso.com*或contoso.com/ab*不允许。*.com*无效 (不是可解析的域,并且正确的通配符不遵循正斜杠) 。IP 地址中不允许使用通配符。
波形符 (~) 字符在以下情况下可用:
左波形符表示域和所有子域。
例如,
~contoso.com包括contoso.com和*.contoso.com。
不支持或不需要用户名或密码。
引号 ( 或“) 是无效字符。
URL 应尽可能包含所有重定向。
URL 条目方案
以下小节介绍了有效的 URL 条目及其结果。
方案:顶级域阻止
条目: *.<TLD>/*
- 块匹配:
- a.TLD
- TLD/abcd
- b.abcd.TLD
- TLD/contoso.com
- TLD/q=contoso.com
www.abcd.TLDwww.abcd.TLD/q=a@contoso.com
方案:无通配符
条目: contoso.com
允许匹配:contoso.com
允许不匹配:
- abc-contoso.com
- contoso.com/a
- payroll.contoso.com
- test.com/contoso.com
- test.com/q=contoso.com
www.contoso.comwww.contoso.com/q=a@contoso.com
块匹配:
- contoso.com
- contoso.com/a
- payroll.contoso.com
- test.com/contoso.com
- test.com/q=contoso.com
www.contoso.comwww.contoso.com/q=a@contoso.com
块不匹配:abc-contoso.com
方案:左通配符 (子域)
提示
仅 高级传递配置支持此模式的允许条目。
条目: *.contoso.com
允许匹配 和 阻止匹配:
www.contoso.com- xyz.abc.contoso.com
允许不匹配 和 阻止不匹配:
- 123contoso.com
- contoso.com
- test.com/contoso.com
www.contoso.com/abc
方案:路径顶部的右通配符
条目: contoso.com/a/*
允许匹配 和 阻止匹配:
- contoso.com/a/b
- contoso.com/a/b/c
- contoso.com/a/?q=joe@t.com
允许不匹配 和 阻止不匹配:
- contoso.com
- contoso.com/a
www.contoso.comwww.contoso.com/q=a@contoso.com
方案:左波形符
提示
仅 高级传递配置支持此模式的允许条目。
条目: ~contoso.com
允许匹配 和 阻止匹配:
- contoso.com
www.contoso.com- xyz.abc.contoso.com
允许不匹配 和 阻止不匹配:
- 123contoso.com
- contoso.com/abc
www.contoso.com/abc
方案:右通配符后缀
条目: contoso.com/*
允许匹配 和 阻止匹配:
- contoso.com/?q=whatever@fabrikam.com
- contoso.com/a
- contoso.com/a/b/c
- contoso.com/ab
- contoso.com/b
- contoso.com/b/a/c
- contoso.com/ba
允许不匹配 和 阻止不匹配:contoso.com
方案:左侧通配符子域和右通配符后缀
提示
仅 高级传递配置支持此模式的允许条目。
条目: *.contoso.com/*
允许匹配 和 阻止匹配:
- abc.contoso.com/ab
- abc.xyz.contoso.com/a/b/c
www.contoso.com/awww.contoso.com/b/a/c- xyz.contoso.com/ba
允许不匹配 和 阻止不匹配:contoso.com/b
方案:向左和向右平铺
提示
仅 高级传递配置支持此模式的允许条目。
条目: ~contoso.com~
允许匹配 和 阻止匹配:
- contoso.com
- contoso.com/a
www.contoso.comwww.contoso.com/b- xyz.abc.contoso.com
- abc.xyz.contoso.com/a/b/c
- contoso.com/b/a/c
- test.com/contoso.com
允许不匹配 和 阻止不匹配:
- 123contoso.com
- contoso.org
- test.com/q=contoso.com
方案:IP 地址
条目: 1.2.3.4
允许匹配 和 块匹配:1.2.3.4
允许不匹配 和 阻止不匹配:
- 1.2.3.4/a
- 11.2.3.4/a
具有右通配符的 IP 地址
条目: 1.2.3.4/*
- 允许匹配 和 阻止匹配:
- 1.2.3.4/b
- 1.2.3.4/baaaa
无效条目的示例
以下条目无效:
域值缺失或无效:
- contoso
- *.contoso.*
- *。Com
文本上的通配符或不带间距字符:
- *contoso.com
- contoso.com*
- *1.2.3.4
- 1.2.3.4*
- contoso.com/a*
- contoso.com/ab*
具有端口的 IP 地址:
- contoso.com:443
- abc.contoso.com:25
非描述性通配符:
- *
- *.*
中间通配符:
- conto*so.com
- conto~so.com
双通配符
- contoso.com/**
- contoso.com/*/*
相关文章
反馈
即将推出:在整个 2024 年,我们将逐步取消以“GitHub 问题”作为内容的反馈机制,并将其替换为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈