使用租用戶允許/封鎖清單允許或封鎖 URL

• 適用於:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

您知道您可以免費試用 Microsoft Defender XDR for Office 365 方案 2 中的功能嗎？ 在 Microsoft Defender 入口網站試用中樞使用適用於 Office 365 的 90 天 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款。

在Microsoft 365 個在 Exchange Online 或獨立 Exchange Online Protection 中具有信箱的組織 (EOP) 沒有 Exchange Online 信箱的組織，系統管理員可以在租用戶允許/封鎖清單中建立和管理 URL 的專案。 如需租使用者允許/封鎖清單的詳細資訊，請 參閱管理租使用者允許/封鎖清單中的允許和區塊。

注意事項

若要允許來自第三方網路釣魚仿真的網路釣魚 URL，請使用進階 傳遞組態 來指定 URL。 請勿使用租用戶允許/封鎖清單。

本文說明系統管理員如何在 Microsoft Defender 入口網站和 Exchange Online PowerShell 中管理 URL 的專案。

開始之前有哪些須知？

• 您會在 開啟 Microsoft Defender 入口網站。https://security.microsoft.com 若要直接移至 [ 租使用者允許/封鎖清單 ] 頁面， 請使用 https://security.microsoft.com/tenantAllowBlockList。 若要直接移 至提交頁面 ，請使用 https://security.microsoft.com/reportsubmission。

• 若要連線至 Exchange Online PowerShell，請參閱連線至 Exchange Online PowerShell。 若要連接至獨立版 EOP PowerShell，請參閱連線到 Exchange Online Protection PowerShell。

• 如需 URL 專案語法，請參閱本文稍後 的租使用者允許/封鎖清單一節的 URL 語法 。

• • URL 的專案限制：
  • Exchange Online Protection：允許專案的最大數目為 500，而封鎖專案的最大數目為 500 (總) 1000 個 URL 專案。
  • 適用於 Office 365 的 Defender 方案 1：允許專案的最大數目為 1000，而封鎖專案的最大數目為 1000 (總) 2000 個 URL 專案。
  • 適用於 Office 365 的 Defender 方案 2：允許專案的最大數目為 5000，而封鎖專案的最大數目為 10000， (總計為 15000 個 URL 專案) 。

• 您可以在 URL 項目中輸入最多 250 個字元。

• 項目應該會在 5 分鐘內作用中。

• 您必須獲得指派許可權，才能執行本文中的程式。 您有下列選項：

  • Microsoft Defender XDR 整合角色型訪問控制 (RBAC) ( 如果適用於Office 365 的 Defender 許可權為作用中的電子郵件 & 共同作業>。只會影響 Defender 入口網站，而不會影響 PowerShell) ：

    • 從租使用者允許/封鎖清單中新增和移除專案：以下列許可權指派的成員資格：
      • 授權和設定/安全性設定/偵測微調 (管理)
    • 租使用者允許/封鎖清單的唯讀存取權：
      • 授權和設定/安全性設定/只讀。
      • 授權和設定/安全性設定/核心安全性設定 (讀取) 。

  • Exchange Online 許可權：

    • 從租使用者允許/封鎖清單新增和移除專案：下列其中一個角色群組的成員資格：
      • 組織管理 或 安全性系統管理員 (安全性系統管理員角色) 。
      • 安全性操作員 (租使用者 AllowBlockList Manager) 。
    • 租使用者允許/封鎖清單的只讀存取權：下列其中一個角色群組中的成員資格：
      • 全域讀取者
      • 安全性讀取者
      • 僅限檢視組態
      • View-Only Organization Management

  • Microsoft權限：全域管理員、安全性系統管理員^*、全域讀取者或安全性讀取者角色的成員資格，可為使用者提供Microsoft 365 中其他功能的必要許可權和許可權。

    重要事項

    ^* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域管理員是高度特殊許可權的角色，當您無法使用現有角色時，應該僅限於緊急案例。

建立 URL 的允許專案

您無法直接在租使用者允許/封鎖清單中建立URL的允許專案。 不必要的允許專案會向系統篩選的惡意電子郵件公開您的組織。

相反地，您會在 的 [提交] 頁面https://security.microsoft.com/reportsubmission?viewid=url上使用 [URL] 索引標籤。 當您在 [租使用者允許/封鎖清單] 頁面的 [URL] 索引標籤上，將封鎖的 URL 提交為 [不應該被封鎖 (誤判為) 時，您可以選取 [允許此 URL 新增並允許 URL 輸入]。 如需指示，請 參閱回報良好的 URL 以Microsoft。

注意事項

我們會針對在郵件流程期間或按兩下時，由篩選器判定為惡意的URL建立允許專案。

我們允許包含原始 URL 變化的後續訊息。 例如，您可以使用 [ 提交] 頁面來報告不正確封鎖的網址 www.contoso.com/abc。 如果您的組織稍後收到包含 URL (的訊息，例如，但不限於： www.contoso.com/abc、 www.contoso.com/abc?id=1、 www.contoso.com/abc/def/gty/uyt?id=5或 www.contoso.com/abc/whatver) ，則不會根據 URL 封鎖訊息。 換句話說，您不需要回報相同 URL 的多個變化，就能Microsoft。

當允許專案中的實體在郵件流程期間或按兩下) 時再次遇到 (時，會覆寫與該實體相關聯的所有篩選。

根據預設，允許 URL 的專案存在 30 天。 在這 30 天內，Microsoft 從允許項目學習 並移除它們，或自動擴充它們。 Microsoft從已移除的允許專案中學習之後，除非在郵件中偵測到其他內容為惡意，否則會傳遞包含這些 URL 的訊息。

在郵件流程期間，如果包含允許 URL 的訊息在篩選堆疊中通過其他檢查，則會傳遞訊息。 例如，如果訊息通過 電子郵件驗證檢查 和檔案篩選，如果訊息也包含允許的URL，就會傳遞訊息。

在單擊期間，URL 允許輸入會覆寫與 URL 實體相關聯的所有篩選，讓用戶能夠存取 URL。

URL 允許專案不會防止適用於 Office 365 的 Defender 中的安全鏈接保護包裝 URL。 如需詳細資訊， 請參閱不要在SafeLinks中重寫清單。

建立 URL 的區塊專案

包含這些封鎖 URL 的電子郵件訊息會被封鎖為 高信賴度網路釣魚。 包含封鎖 URL 的訊息會遭到隔離。

若要建立 URL 的區塊專案，請使用下列其中一種方法：

您有下列選項可建立網址的區塊專案：

• 從[提交] 頁面上的 [URL] 索引標籤，位於 https://security.microsoft.com/reportsubmission?viewid=url。 當您提交 [應該已封鎖] 訊息 (False 負) 時，您可以選取 [封鎖此 URL] 將區塊專案新增至 [租使用者允許/封鎖清單] 頁面上的 [URL] 索引卷標。 如需指示，請 參閱向Microsoft報告有問題的URL。

• 從 [租使用者允許/封鎖清單] 頁面或 PowerShell 中的 [URL] 索引卷標，如本節所述。

使用 Microsoft Defender 入口網站在租用戶允許/封鎖清單中建立 URL 的封鎖專案

1. 在 Microsoft Defender 入口網站中https://security.microsoft.com，移至 [原則 & 規則威脅>原則規則>] 區段 >[租用戶允許/封鎖清單]。 或者，若要直接移至 [租用戶允許/封鎖清單] 頁面，請使用 https://security.microsoft.com/tenantAllowBlockList。

2. 在 [ 租用戶允許/封鎖清單] 頁面上，選取 [ URL] 索引標籤 。

3. 在 [ URL] 索引標籤 上，選取 [ 封鎖]。

4. 在開啟的 [封鎖 URL] 飛出視窗中，設定下列設定：

   • 新增具有通配符的 URL：每行輸入一個 URL，最多 20 個。 如需 URL 專案的語法詳細資訊，請參閱本文稍後 的租用戶允許/封鎖清單一節的 URL 語法 。

   • 拿掉區塊項目之後：從下列值中選取：

     • 永不過期
     • 1 天
     • 7 天
     • 默認) (30 天
     • 特定日期：最大值為從今天起的90天。

   • 選擇性注意事項：輸入封鎖 URL 原因的描述性文字。

   當您在 [ 封鎖 URL ] 飛出視窗中完成時，請選取 [ 新增]。

回到 [ URL] 索引標籤 上，會列出專案。

使用 PowerShell 在租使用者允許/封鎖清單中建立 URL 的封鎖專案

在 Exchange Online PowerShell 中，使用下列語法：

New-TenantAllowBlockListItems -ListType Url -Block -Entries "Value1","Value2",..."ValueN" <-ExpirationDate <Date> | -NoExpiration> [-Notes <String>]

本範例會新增 URL contoso.com 的區塊專案，以及所有子域 (例如，contoso.com 和 xyz.abc.contoso.com) 。 因為我們未使用 ExpirationDate 或 NoExpiration 參數，所以專案會在 30 天后過期。

New-TenantAllowBlockListItems -ListType Url -Block -Entries *contoso.com

如需詳細的語法和參數資訊，請參閱 New-TenantAllowBlockListItems。

使用 Microsoft Defender 入口網站來檢視租使用者允許/封鎖清單中 URL 的專案

在 Microsoft Defender 入口網站https://security.microsoft.com中，移至 [規則] 區段中的 [原則 & 規則>][威脅>原則租使用者允許/封鎖清單]。 或者，若要直接移至 [ 租用戶允許/封鎖清單 ] 頁面，請使用 https://security.microsoft.com/tenantAllowBlockList。

選取 [ URL] 索引標籤 。

在 [ URL] 索 引標籤上，您可以按下可用的數據行標頭來排序專案。 下列資料列可供使用：

• 值：URL。
• 動作：可用的值為 Allow 或 Block。
• 修改者
• 上次更新
• 上次使用日期：上次在篩選系統中使用專案來覆寫決策的日期。
• 拿掉日期：到期日。
• 附註

若要篩選專案，請選取 [ 篩選]。 下列篩選條件可在開啟的 [ 篩選 ] 飛出視窗中使用：

• 動作：可用的值為 Allow 和 Block。
• 永不過期： 或
• 上次更新時間：選取 [從] 和 [到日期]。
• 上次使用的日期：選取 [從] 和 [到日期]。
• 拿掉於：選取 [從] 和 [到日期]。

當您在 [ 篩選 ] 飛出視窗中完成時，請選取 [ 套用]。 若要清除篩選，請選取 [清除篩選]。

使用 [ 搜尋] 方塊和對應的值來尋找特定專案。

若要將專案分組，請選取 [ 群組 ]，然後選取 [ 動作]。 若要取消專案群組，請選取 [ 無]。

使用 PowerShell 檢視租使用者允許/封鎖清單中 URL 的專案

在 Exchange Online PowerShell 中，使用下列語法：

Get-TenantAllowBlockListItems -ListType Url [-Allow] [-Block] [-Entry <URLValue>] [<-ExpirationDate <Date> | -NoExpiration>]

此範例會傳回所有允許和封鎖的URL。

Get-TenantAllowBlockListItems -ListType Url

此範例會依封鎖的 URL 篩選結果。

Get-TenantAllowBlockListItems -ListType Url -Block

如需詳細的語法和參數資訊，請參閱 Get-TenantAllowBlockListItems。

使用 Microsoft Defender 入口網站修改租使用者允許/封鎖清單中 URL 的專案

在現有的 URL 專案中，您可以變更到期日和附注。

1. 在 Microsoft Defender 入口網站中https://security.microsoft.com，移至 [原則 & 規則威脅>原則規則>] 區段 >[租用戶允許/封鎖清單]。 或者，若要直接移至 [ 租用戶允許/封鎖清單 ] 頁面，請使用 https://security.microsoft.com/tenantAllowBlockList。

2. 選取 [URL] 索引標籤

3. 在 [ URL] 索 引標籤上，選取第一個數據行旁邊的複選框，從清單中選取專案，然後選取出現的 [編輯 ] 動作。

4. 在開啟的 [編輯 URL ] 飛出視窗中，可以使用下列設定：

   • 封鎖專案：
     • 拿掉區塊項目之後：從下列值中選取：
       • 1 天
       • 7 天
       • 30 天
       • 永不過期
       • 特定日期：最大值為從今天起的90天。
     • 選擇性附注
   • 允許專案：
     • 移除[允許輸入]：從下列值中選取：
       • 1 天
       • 7 天
       • 30 天
       • 特定日期：最大值為從今天起的 30 天。
     • 選擇性附注

   當您在 [ 編輯 URL ] 飛出視窗中完成時，請選取 [ 儲存]。

提示

在 [URL] 索引標籤上專案的詳細數據飛出視窗中，使用飛出視窗頂端的 [檢視提交]，移至 [提交] 頁面上對應專案的詳細數據。 如果提交負責在租使用者允許/封鎖清單中建立專案，則可使用此動作。

使用 PowerShell 修改租使用者允許/封鎖清單中 URL 的專案

在 Exchange Online PowerShell 中，使用下列語法：

Set-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

此範例會變更指定 URL 之區塊專案的到期日。

Set-TenantAllowBlockListItems -ListType Url -Entries "~contoso.com" -ExpirationDate "9/1/2022"

如需詳細的語法和參數資訊，請參閱 Set-TenantAllowBlockListItems。

使用 Microsoft Defender 入口網站，從租用戶允許/封鎖清單中移除 URL 的專案

1. 在 Microsoft Defender 入口網站中https://security.microsoft.com，移至 [原則 & 規則威脅>原則規則>] 區段 >[租用戶允許/封鎖清單]。 或者，若要直接移至 [租用戶允許/封鎖清單] 頁面，請使用 https://security.microsoft.com/tenantAllowBlockList。

2. 選取 [ URL] 索引標籤 。

3. 在 [ URL] 索引標籤 上，執行下列其中一個步驟：

   • 選取第一個數據行旁邊的複選框，然後選取出現的 [刪除 ] 動作，以從清單中選取專案。

   • 按兩下複選框以外的數據列中的任何位置，從清單中選取專案。 在開啟的詳細數據飛出視窗中，選取飛出視窗頂端的 [刪除]。

     提示

     若要查看其他項目的詳細數據而不離開詳細數據飛出視窗，請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。

4. 在開啟的警告對話框中，選取 [ 刪除]。

回到 [ URL] 索引標籤 ，專案已不再列出。

提示

您可以選取每個複選框來選取多個專案，或選取 [值 ] 資料行標頭旁邊的複選框來選取所有專案。

使用 PowerShell 從租使用者允許/封鎖清單中移除 URL 的專案

在 Exchange Online PowerShell 中，使用下列語法：

Remove-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>>

本範例會從租使用者允許/封鎖清單中移除指定URL的區塊專案。

Remove-TenantAllowBlockListItems -ListType Url -Entries "*cohovineyard.com

如需詳細的語法和參數資訊，請參閱 Remove-TenantAllowBlockListItems。

租使用者允許/封鎖清單的URL語法

• 允許 IPv4 和 IPv6 位址，但不允許 TCP/UDP 埠。

• 例如，test.pdf) (不允許擴展名。

• 不支援 Unicode，但 Punycode 為 。

• 如果下列所有語句都成立，則允許主機名：

  • 主機名包含句號。
  • 期間的左邊至少有一個字元。
  • 期間右邊至少有兩個字元。

  例如， t.co 是允許的; .com 或 contoso. 不允許。

• 子路徑不表示允許。

  例如， contoso.com 不包含 contoso.com/a。

• 在下列案例中，允許使用通配符 (*) ：

  • 左側通配符後面必須加上句點，才能指定子域。 (僅適用於區塊)

    例如， *.contoso.com 是允許的; *contoso.com 不允許。

  • 右通配符必須遵循正斜線 (/) 才能指定路徑。

    例如， contoso.com/* 是允許的; contoso.com* 或 contoso.com/ab* 不允許。

  • *.com* 無效 (不是可解析的網域，且正確的通配符不會遵循正斜線) 。

  • IP 位址中不允許使用通配符。

• 波狀符號 (~) 字元可在下列案例中使用：

  • 左波狀符號表示網域和所有子域。

    例如， ~contoso.com 包含 contoso.com 與 *.contoso.com。

• 不支援或不需要使用者名稱或密碼。

• 引號 (' 或 「) 無效的字元。

• URL 應該盡可能包含所有重新導向。

URL 輸入案例

下列小節說明有效的 URL 專案及其結果。

案例：最上層網域封鎖

專案： *.<TLD>/*

• 區塊比對：
  • a.TLD
  • TLD/abcd
  • b.abcd.TLD
  • TLD/contoso.com
  • TLD/q=contoso.com
  • www.abcd.TLD
  • www.abcd.TLD/q=a@contoso.com

案例：沒有通配符

專案： contoso.com

• 允許比對：contoso.com

• 允許不相符：

  • abc-contoso.com
  • contoso.com/a
  • payroll.contoso.com
  • test.com/contoso.com
  • test.com/q=contoso.com
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

• 區塊比對：

  • contoso.com
  • contoso.com/a
  • payroll.contoso.com
  • test.com/contoso.com
  • test.com/q=contoso.com
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

• 區塊不相符：abc-contoso.com

案例：左側通配符 (子域)

提示

只有進階 傳遞組態才支援此模式的允許專案。

專案： *.contoso.com

• 允許比對 和 封鎖比對：

  • www.contoso.com
  • xyz.abc.contoso.com

• [允許不相符] 和 [封鎖不相符]：

  • 123contoso.com
  • contoso.com
  • test.com/contoso.com
  • www.contoso.com/abc

案例：路徑頂端的右通配符

專案： contoso.com/a/*

• 允許比對 和 封鎖比對：

  • contoso.com/a/b
  • contoso.com/a/b/c
  • contoso.com/a/?q=joe@t.com

• [允許不相符] 和 [封鎖不相符]：

  • contoso.com
  • contoso.com/a
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

案例：左波狀符號

提示

只有進階 傳遞組態才支援此模式的允許專案。

專案： ~contoso.com

• 允許比對 和 封鎖比對：

  • contoso.com
  • www.contoso.com
  • xyz.abc.contoso.com

• [允許不相符] 和 [封鎖不相符]：

  • 123contoso.com
  • contoso.com/abc
  • www.contoso.com/abc

案例：正確的通配符後綴

專案： contoso.com/*

• 允許比對 和 封鎖比對：

  • contoso.com/?q=whatever@fabrikam.com
  • contoso.com/a
  • contoso.com/a/b/c
  • contoso.com/ab
  • contoso.com/b
  • contoso.com/b/a/c
  • contoso.com/ba

• 允許不相符 和 封鎖不相符：contoso.com

案例：左通配符子域和右通配符後綴

提示

只有進階 傳遞組態才支援此模式的允許專案。

專案： *.contoso.com/*

• 允許比對 和 封鎖比對：

  • abc.contoso.com/ab
  • abc.xyz.contoso.com/a/b/c
  • www.contoso.com/a
  • www.contoso.com/b/a/c
  • xyz.contoso.com/ba

• 允許不相符 和 封鎖不相符：contoso.com/b

案例：左右波狀符號

提示

只有進階 傳遞組態才支援此模式的允許專案。

專案： ~contoso.com~

• 允許比對 和 封鎖比對：

  • contoso.com
  • contoso.com/a
  • www.contoso.com
  • www.contoso.com/b
  • xyz.abc.contoso.com
  • abc.xyz.contoso.com/a/b/c
  • contoso.com/b/a/c
  • test.com/contoso.com

• [允許不相符] 和 [封鎖不相符]：

  • 123contoso.com
  • contoso.org
  • test.com/q=contoso.com

案例：IP 位址

專案： 1.2.3.4

• 允許比對 和 封鎖比對：1.2.3.4

• [允許不相符] 和 [封鎖不相符]：

  • 1.2.3.4/a
  • 11.2.3.4/a

具有右通配符的IP位址

專案： 1.2.3.4/*

• 允許比對 和 封鎖比對：
  • 1.2.3.4/b
  • 1.2.3.4/baaaa

無效專案的範例

下列項目無效：

• 缺少或無效的定義域值：

  • contoso
  • *.contoso.*
  • *.com
  • *.pdf

• 文字或不含間距字元的通配符：

  • *contoso.com
  • contoso.com*
  • *1.2.3.4
  • 1.2.3.4*
  • contoso.com/a*
  • contoso.com/ab*

• 具有埠的 IP 位址：

  • contoso.com:443
  • abc.contoso.com:25

• 非描述性通配符：

  • *
  • *.*

• 中間通配符：

  • conto*so.com
  • conto~so.com

• 雙通配符

  • contoso.com/**
  • contoso.com/*/*

相關文章

• 使用 [提交] 頁面將可疑的垃圾郵件、網络釣魚、URL、遭到封鎖的合法電子郵件，以及電子郵件附件提交至 Microsoft
• 報告誤判和誤判
• 管理租用戶允許/封鎖清單中的允許和區塊
• 允許或封鎖租用戶允許/封鎖清單中的檔案
• 允許或封鎖租用戶允許/封鎖清單中的電子郵件