管理租用戶允許/封鎖清單中的允許和區塊
提示
您知道您可以免費試用 Microsoft Defender 全面偵測回應 Office 365 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
重要事項
若要允許屬於第三方攻擊模擬訓練一部分的網路釣魚 URL,請使用 進階傳遞組態 來指定 URL。 請勿使用租用戶允許/封鎖清單。
在Microsoft 365 個組織中,Exchange Online 或獨立 Exchange Online Protection (EOP) 組織沒有 Exchange Online 信箱,您可能會對 EOP 或適用於 Office 365 的 Microsoft Defender 篩選決策。 例如,良好的訊息可能會標示為不正確 (誤判) ,或透過 (誤判) 來允許錯誤訊息。
Microsoft Defender 入口網站中的租使用者允許/封鎖清單可讓您手動覆寫 適用於 Office 365 的 Defender 或 EOP 篩選決策。 清單會在郵件流程期間或按兩下時間使用,以取得來自外部寄件者的傳入訊息。
網域、電子郵件地址和詐騙寄件者的專案會套用至組織內傳送的內部郵件。 封鎖 網域和電子郵件地址 的專案也會防止組織中的用戶 將電子郵件傳送 至那些封鎖的網域和位址。
租使用者允許/封鎖清單可在 Microsoft Defender 入口網站中取得,網 Email & https://security.microsoft.com 共同>作業原則 & 規則威脅原則>規則>一節>租用戶允許/封鎖 清單。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
如需使用方式和設定指示,請參閱下列文章:
- 網域和電子郵件地址 和 詐騙寄件者: 允許或封鎖使用租使用者允許/封鎖清單的電子郵件
- 檔案: 使用租用戶允許/封鎖清單來允許或封鎖檔案
- URL: 使用租使用者允許/封鎖清單來允許或封鎖URL。
- IP 位址: 使用租使用者允許/封鎖清單來允許或封鎖IP位址。
這些文章包含 Microsoft Defender 入口網站和PowerShell中的程式。
封鎖租用戶允許/封鎖清單中的專案
提示
在租用戶允許/封鎖清單中,封鎖專案優先於允許專案。
使用 [ 提交 ] 頁面 (也稱為系統 管理員提交) , https://security.microsoft.com/reportsubmission 在您將下列類型的專案提交為誤判給 Microsoft 時,建立下列類型的封鎖專案:
-
- Email 來自這些發件者的郵件會標示為高信賴度網路釣魚,然後移至隔離。
- 組織中的用戶無法傳送電子郵件給這些封鎖的網域和位址。 他們會收到下列非傳遞報告 (也稱為 NDR 或退回的郵件) :
550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List.即使封鎖專案中只定義了一個收件者電子郵件地址或網域,郵件的所有內部和外部收件者仍會封鎖整個郵件。
提示
若只要封鎖來自特定寄件者的電子郵件,請將電子郵件位址或網域新增至 反垃圾郵件原則中的封鎖清單。 若要封鎖寄件者的所有電子郵件,請使用租用戶允許/封鎖清單中的網 域和電子郵件位址 。
檔案:Email 包含這些已封鎖檔案的訊息會被封鎖為惡意代碼。 包含已封鎖檔案的訊息會遭到隔離。
URL:Email 包含這些封鎖 URL 的訊息會被封鎖為高信賴度網路釣魚。 包含封鎖 URL 的訊息會遭到隔離。
在 [租使用者允許/封鎖清單] 中,您也可以直接為下列類型的專案建立區塊專案:
詐騙發件者:如果您手動覆寫來自 詐騙情報的現有允許決策,封鎖的詐騙發件者會變成手動封鎖專案,只出現在租用戶允許/封鎖清單中的 [ 詐騙發件者 ] 索引卷標上。
IP 位址:如果您手動建立封鎖專案,該 IP 位址的所有內送電子郵件訊息都會卸除在服務的邊緣。
根據預設, 網域和電子郵件地址、 檔案 和 URL 的封鎖專案會在 30 天后到期,但您可以將它們設定為最多 90 天到期或永不過期。
允許租用戶允許/封鎖清單中的專案
在大部分情況下,您無法直接在租用戶允許/封鎖清單中建立允許專案。 不必要的允許專案會將您的組織公開到可能已由系統篩選的惡意電子郵件。
網域和電子郵件地址、 檔案和 URL:您無法直接在租使用者允許/封鎖清單中建立允許專案。 相反地,您可以使用 的 [ 提交] 頁面 https://security.microsoft.com/reportsubmission ,將 電子郵件、 電子郵件附件或 URL 提交至 Microsoft。 選取 [ 我確認它已清除] 之後,您可以選取 [ 允許此郵件]、[ 允許此檔案] 或 [ 允許此 URL 建立網域和電子郵件地址、檔案或 URL 的允許專案]。
詐騙寄件者:
- 如果詐騙情報已封鎖郵件為詐騙,請使用 的 [ 提交 ] 頁面 https://security.microsoft.com/reportsubmission 將 電子郵件回報給Microsoft ,因為 我已確認郵件是乾淨的,然後選取 [ 允許此郵件]。
- 您可以在 [租使用者允許/封鎖清單] 的 [詐騙發件者] 索引標籤上,主動建立詐騙寄件人的允許專案,然後詐騙情報會將郵件識別並封鎖為詐騙。
IP 位址:您可以在 [租使用者允許/封鎖清單] 的 [IP 位址] 索引標籤上,主動建立IP位址的允許專案,以覆寫傳入訊息的IP篩選器。
下列清單描述當您在 [提交] 頁面上將某個專案提交至 Microsoft為誤判時,租使用者允許/封鎖清單 中 會發生什麼事:
Email 附件和 URL:會建立允許專案,而且專案會分別出現在 [租使用者允許/封鎖清單] 的 [檔案] 或 [URL] 索引卷標上。
針對回報為誤判的 URL,我們允許包含原始 URL 變化的後續訊息。 例如,您可以使用 [ 提交] 頁面來報告不正確封鎖的網址
www.contoso.com/abc。 如果您的組織稍後收到包含 URL (的訊息,例如,但不限於:www.contoso.com/abc、www.contoso.com/abc?id=1、www.contoso.com/abc/def/gty/uyt?id=5或www.contoso.com/abc/whatever) ,則不會根據 URL 封鎖訊息。 換句話說,您不需要回報相同 URL 的多個變化,就能Microsoft。Email:如果 EOP 或 適用於 Office 365 的 Defender 篩選堆棧封鎖訊息,可能會在租用戶允許/封鎖清單中建立允許專案:
- 如果郵件遭到 詐騙情報封鎖,則會建立發件人的允許專案,而且該專案會出現在 [租用戶允許/封鎖清單] 中的 [ 詐騙發件者 ] 索引卷標上。
- 如果訊息遭到使用者 (或圖形封鎖,) 適用於 Office 365 的 Defender 中的模擬保護,則不會在租用戶允許/封鎖清單中建立允許專案。 相反地,網域或發件者會新增至偵測到郵件之反網路釣魚原則中的 [信任的發件人和網域] 區段。
- 如果訊息因檔案型篩選而遭封鎖,則會建立檔案的允許專案,而且專案會出現在 [租使用者允許/封鎖清單] 的 [ 檔案 ] 索引卷標上。
- 如果訊息因 URL 型篩選而封鎖,則會建立 URL 的允許專案,而且專案會出現在 [租使用者允許/封鎖清單] 的 [URL] 索 引卷標上。
- 如果郵件因任何其他原因而遭封鎖,則會建立發件者電子郵件位址或網域的允許專案,而且專案會出現在 [租使用者允許/封鎖清單] 的 [網 域 & 位址] 索引卷標上。
- 如果訊息因篩選而未遭到封鎖,則不會在任何位置建立允許專案。
提示
在郵件流程期間,會根據判斷郵件為惡意的篩選條件,新增來自提交專案的允許專案。 例如,如果寄件者電子郵件地址和郵件中的URL判斷為惡意,則會針對發件者建立允許專案, (電子郵件位址或網域) 和URL。
在郵件流程或點選期間,如果包含允許專案中實體的訊息在篩選堆疊中通過其他檢查,則會傳遞訊息 (略過與允許實體相關聯的所有篩選) 。 例如,如果郵件通過 電子郵件驗證檢查、URL 篩選和檔案篩選,則如果郵件也是來自允許的寄件者,則會傳遞來自允許寄件者電子郵件地址的郵件。
根據預設,在篩選系統判斷實體是乾淨的,然後移除允許項目之後,網 域和電子郵件地址、 檔案和 URL 的允許專案會保留45天。 或者,您可以將允許項目設定為在建立專案后最多 30 天到期。 允許 詐騙寄件人的 專案永不過期。
新增允許或封鎖項目之後會發生什麼事
在 [ 提交 ] 頁面上新增允許專案或租使用者允許/封鎖清單中的封鎖項目之後,項目應該會在) 的 5 分鐘內立即開始運作 (。
如果Microsoft從允許項目中學習,則名為 [移除租使用者允許/封鎖清單中的專案] 的內建警示原則會在 (現在不需要) 允許專案移除時產生警示。