使用租用戶允許/封鎖清單允許或封鎖檔案

提示

您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款

在 Exchange Online 或獨立 Exchange Online Protection (EOP 中具有信箱的 Microsoft 365 組織) 沒有 Exchange Online 信箱的組織中,系統管理員可以在租用戶允許/封鎖清單中建立和管理檔案的專案。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊

本文說明系統管理員如何在 Microsoft Defender 入口網站和 Exchange Online PowerShell 中管理檔案的專案。

開始之前有哪些須知?

  • 您會在 開啟 Microsoft Defender 入口網站。https://security.microsoft.com 若要直接移至 [租使用者允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。 若要直接移 至提交頁面 ,請使用 https://security.microsoft.com/reportsubmission

  • 若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。 若要連接至獨立版 EOP PowerShell,請參閱連線到 Exchange Online Protection PowerShell

  • 您可以使用檔案的 SHA256 哈希值來指定檔案。 若要在 Windows 中尋找檔案的 SHA256 哈希值,請在命令提示字元中執行下列命令:

    certutil.exe -hashfile "<Path>\<Filename>" SHA256

    例如,此值可能為 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a。 不支援 pHash) 值 (感知哈希。

  • 檔案的專案限制:

    • Exchange Online Protection:允許專案的最大數目為 500,而封鎖專案的最大數目為 500 (總) 1000 個檔案專案。
    • 適用於 Office 365 的 Defender 方案 1:允許專案的最大數目為 1000,而封鎖專案的最大數目為 1000 (總) 2000 個檔案專案。
    • 適用於 Office 365 的 Defender 方案 2:允許專案的最大數目為 5000,而封鎖專案的最大數目為 10000, (總計為 15000 個檔案專案) 。

  • 您可以在檔案項目中輸入最多 64 個字元。

  • 項目應該會在 5 分鐘內作用中。

  • 您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:

    • Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) (只會影響 Defender 入口網站,而不會影響 PowerShell) :授權和設定/安全性設定/偵測調整 (管理) (讀取) 的授權和設定/安全性設定/核心安全性設定
    • Exchange Online 權限
      • 從租使用者允許/封鎖清單新增和移除專案:下列其中一個角色群組的成員資格:
        • 組織管理安全性系統管理員 (安全性系統管理員角色) 。
        • 安全性操作員 (租使用者 AllowBlockList Manager) 。
      • 租使用者允許/封鎖清單的只讀存取權:下列其中一個角色群組中的成員資格:
        • 全域讀取者
        • 安全性讀取者
        • 僅限檢視組態
        • View-Only Organization Management
    • Microsoft Entra 權限:全域管理員、安全性系統管理員、全域讀取者安全性讀取者角色的成員資格,可為使用者提供 Microsoft 365 中其他功能的必要許可權許可權。

  • [檔案] 索引標籤僅適用於具有 Microsoft Defender 全面偵測回應 或 適用於端點的 Microsoft Defender 方案 2 的組織中的 [提交] 頁面。 如需從 [檔案] 索引標籤提交檔案的資訊和指示,請參閱在 適用於端點的 Microsoft Defender 中提交檔案

Create 允許檔案的專案

您無法直接在租使用者允許/封鎖清單中建立檔案的允許專案。 不必要的允許專案會向系統篩選的惡意電子郵件公開您的組織。

相反地,您可以在 的 [提交] 頁面上使用 [Email 附件] 索引標籤https://security.microsoft.com/reportsubmission?viewid=emailAttachment。 當您在 [租使用者允許/封鎖 清單] 頁面的 [檔案] 索引標籤上,將封鎖的檔案提交為 [不應該被封鎖 (誤判) 時,您可以選取 [允許此檔案] 以新增檔案的允許專案。 如需指示, 請參閱提交良好的電子郵件附件給 Microsoft

注意事項

根據在郵件流程期間判斷郵件為惡意的篩選條件,新增允許專案。 例如,如果寄件者電子郵件地址和郵件中的檔案判斷為不正確,則會為寄件者建立允許專案, (電子郵件位址或網域) 和檔案。

當允許專案中的實體在郵件流程期間或按兩下) 時再次遇到 (時,會覆寫與該實體相關聯的所有篩選。

根據預設,允許檔案的專案存在 30 天。 在這 30 天內,Microsoft 會從允許項目中學習並 移除這些專案,或自動加以擴充。 在 Microsoft 從移除的允許專案學習之後,除非在郵件中偵測到其他專案為惡意,否則會傳遞包含這些實體的訊息。

在郵件流程期間,如果包含允許實體的訊息在篩選堆疊中通過其他檢查,則會傳遞訊息。 例如,如果訊息通過 電子郵件驗證檢查,如果訊息也包含允許的檔案,就會傳遞訊息。

在單擊期間,檔案允許專案會覆寫與檔案實體相關聯的所有篩選,讓用戶能夠存取檔案。

Create 封鎖檔案的專案

Email 包含這些已封鎖檔案的訊息會被封鎖為惡意代碼。 包含已封鎖檔案的訊息會遭到隔離。

若要建立檔案的區塊專案,請使用下列其中一種方法:

使用 Microsoft Defender 入口網站在租用戶允許/封鎖清單中建立檔案的封鎖專案

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList

  2. 在 [租使用者允許/封鎖 清單] 頁面上,選取 [檔案] 索引標籤

  3. 在 [ 檔案] 索引標籤 上,選取 [ 封鎖]

  4. 在開啟的 [封鎖檔案 ] 飛出視窗中,設定下列設定:

    • 新增檔案哈希:每行輸入一個SHA256哈希值,最多20個。

    • 拿掉區塊項目之後:從下列值中選取:

      • 1 天
      • 7 天
      • 默認) (30 天
      • 永不過期
      • 特定日期:最大值為從今天起的90天。

    • 選擇性注意事項:輸入封鎖檔案原因的描述性文字。

    當您在 [ 封鎖檔案 ] 飛出視窗中完成時,請選取 [ 新增]

回到 [ 檔案] 索引 標籤,會列出專案。

使用 PowerShell 建立租使用者允許/封鎖清單中檔案的封鎖專案

Exchange Online PowerShell 中,使用下列語法:

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

本範例會為從未過期的指定檔案新增區塊專案。

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

如需詳細的語法和參數資訊,請參閱 New-TenantAllowBlockListItems

使用 Microsoft Defender 入口網站來檢視租用戶允許/封鎖清單中檔案的專案

在 Microsoft Defender 入口網站https://security.microsoft.com的 中,移至 [規則] 區段中的 [原則 & 規則>]>[威脅原則租使用者允許/封鎖 清單]。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList

選取 [ 檔案] 索引標籤

在 [ 檔案] 索引 標籤上,您可以按兩下可用的數據行標頭來排序專案。 下列資料列可供使用:

  • :檔案哈希。
  • 動作:可用的值為 AllowBlock
  • 修改者
  • 上次更新
  • 上次使用日期:上次在篩選系統中使用專案來覆寫決策的日期。
  • 拿掉日期:到期日。
  • 附註

若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟的 [ 篩選 ] 飛出視窗中使用:

  • 動作:可用的值為 AllowBlock
  • 永不過期
  • 上次更新時間:選取 [從] 和 [到日期]。
  • 上次使用的日期:選取 [從] 和 [到日期]。
  • 拿掉於:選取 [從] 和 [到日期]。

當您在 [ 篩選 ] 飛出視窗中完成時,請選取 [ 套用]。 若要清除篩選,請選[清除篩選]

使用 [搜尋] 方塊和對應的值來尋找特定專案。

若要將專案分組,請選取 [ 群組 ],然後選取 [ 動作]。 若要取消專案群組,請選取 [ 無]

使用 PowerShell 檢視租使用者允許/封鎖清單中檔案的專案

Exchange Online PowerShell 中,使用下列語法:

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

此範例會傳回所有允許和封鎖的檔案。

Get-TenantAllowBlockListItems -ListType FileHash

此範例會傳回指定檔案哈希值的資訊。

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

此範例會依封鎖的檔案篩選結果。

Get-TenantAllowBlockListItems -ListType FileHash -Block

如需詳細的語法和參數資訊,請參閱 Get-TenantAllowBlockListItems

使用 Microsoft Defender 入口網站來修改租用戶允許/封鎖清單中檔案的專案

在現有的檔案專案中,您可以變更到期日和附注。

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList

  2. 選取 [檔案] 索引標籤

  3. 在 [ 檔案] 索引 標籤上,選取第一個資料行旁邊的複選框,然後選取出現的 [編輯 ] 動作,從清單中選取專案。

  4. 在開啟的 [編輯檔案 ] 飛出視窗中,可以使用下列設定:

    • 封鎖專案
      • 拿掉區塊項目之後:從下列值中選取:
        • 1 天
        • 7 天
        • 30 天
        • 永不過期
        • 特定日期:最大值為從今天起的90天。
      • 選擇性附注
    • 允許專案
      • 移除[允許輸入]:從下列值中選取:
        • 1 天
        • 7 天
        • 30 天
        • 特定日期:最大值為從今天起的 30 天。
      • 選擇性附注

    當您在 [ 編輯檔案 ] 飛出視窗中完成時,請選取 [ 儲存]

提示

在 [檔案] 索引標籤上專案的詳細數據飛出視窗中,使用飛出視窗頂端的 [檢視提交],移至 [提交] 頁面上對應專案的詳細數據。 如果提交負責在租使用者允許/封鎖清單中建立專案,則可使用此動作。

使用 PowerShell 修改租使用者允許/封鎖清單中檔案的現有允許或封鎖專案

Exchange Online PowerShell 中,使用下列語法:

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

此範例會變更指定之檔案區塊專案的到期日。

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

如需詳細的語法和參數資訊,請參閱 Set-TenantAllowBlockListItems

使用 Microsoft Defender 入口網站從租使用者允許/封鎖清單中移除檔案的專案

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList

  2. 選取 [ 檔案] 索引標籤

  3. 在 [ 檔案] 索引 標籤上,執行下列其中一個步驟:

    • 選取第一個數據行旁邊的複選框,然後選取出現的 [刪除 ] 動作,以從清單中選取專案。

    • 按兩下複選框以外的數據列中的任何位置,從清單中選取專案。 在開啟的詳細數據飛出視窗中,選取飛出視窗頂端的 [刪除]。

      提示

      若要查看其他項目的詳細數據而不離開詳細數據飛出視窗,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。

  4. 在開啟的警告對話框中,選取 [ 刪除]

回到 [ 檔案] 索引 標籤,專案已不再列出。

提示

您可以選取每個複選框來選取多個專案,或選取 [值 ] 資料行標頭旁邊的複選框來選取所有專案。

使用 PowerShell 從租使用者允許/封鎖清單中移除檔案的專案

Exchange Online PowerShell 中,使用下列語法:

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

此範例會從租使用者允許/封鎖清單中移除指定的檔案區塊。

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

如需詳細的語法和參數資訊,請參閱 Remove-TenantAllowBlockListItems