使用租用戶允許/封鎖清單允許或封鎖 URL

• 適用於:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎？ 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款。

在 Exchange Online 或獨立 Exchange Online Protection (EOP 中具有信箱的 Microsoft 365 組織) 沒有 Exchange Online 信箱的組織中，系統管理員可以在租用戶允許/封鎖清單中建立及管理 URL 的專案。 如需租使用者允許/封鎖清單的詳細資訊，請 參閱管理租使用者允許/封鎖清單中的允許和區塊。

注意事項

若要允許來自第三方網路釣魚仿真的網路釣魚 URL，請使用進階 傳遞組態 來指定 URL。 請勿使用租用戶允許/封鎖清單。

本文說明系統管理員如何在 Microsoft Defender 入口網站和 Exchange Online PowerShell 中管理 URL 的專案。

開始之前有哪些須知？

• 您會在 開啟 Microsoft Defender 入口網站https://security.microsoft.com。 若要直接移至 [ 租使用者允許/封鎖清單 ] 頁面， 請使用 https://security.microsoft.com/tenantAllowBlockList。 若要直接移 至提交頁面 ，請使用 https://security.microsoft.com/reportsubmission。

• 若要連線至 Exchange Online PowerShell，請參閱連線至 Exchange Online PowerShell。 若要連接至獨立版 EOP PowerShell，請參閱連線到 Exchange Online Protection PowerShell。

• 如需 URL 專案語法，請參閱本文稍後 的租使用者允許/封鎖清單一節的 URL 語法 。

• • URL 的專案限制：
  • Exchange Online Protection：允許專案的最大數目為 500，而封鎖專案的最大數目為 500 (總) 1000 個 URL 專案。
  • 適用於 Office 365 的 Defender 方案 1：允許專案的最大數目為 1000，而封鎖專案的最大數目為 1000 (總) 2000 個 URL 專案。
  • 適用於 Office 365 的 Defender 方案 2：允許專案的最大數目為 5000，而封鎖專案的最大數目為 10000 (總計為 15000 個 URL 專案) 。

• 您可以在 URL 項目中輸入最多 250 個字元。

• 項目應該會在 5 分鐘內作用中。

• 您必須獲得指派許可權，才能執行本文中的程式。 您有下列選項：

  • Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) ( 只會影響 Defender 入口網站，而不會影響 PowerShell) ：
    • 從租使用者允許/封鎖清單中新增和移除專案：以下列許可權指派的成員資格：
      • 授權和設定/安全性設定/偵測微調 (管理)
    • 租使用者允許/封鎖清單的唯讀存取權：
      • 授權和設定/安全性設定/只讀。
      • 授權和設定/安全性設定/核心安全性設定 (讀取) 。
  • Exchange Online 權限：
    • 從租使用者允許/封鎖清單新增和移除專案：下列其中一個角色群組的成員資格：
      • 組織管理 或 安全性系統管理員 (安全性系統管理員角色) 。
      • 安全性操作員 (租使用者 AllowBlockList Manager) 。
    • 租使用者允許/封鎖清單的只讀存取權：下列其中一個角色群組中的成員資格：
      • 全域讀取者
      • 安全性讀取者
      • 僅限檢視組態
      • View-Only Organization Management
  • Microsoft Entra 權限：全域管理員、安全性系統管理員、全域讀取者或安全性讀取者角色的成員資格，可為使用者提供 Microsoft 365 中其他功能的必要許可權和許可權。

Create 允許URL的專案

您無法直接在租使用者允許/封鎖清單中建立URL的允許專案。 不必要的允許專案會向系統篩選的惡意電子郵件公開您的組織。

相反地，您會在 的 [提交] 頁面https://security.microsoft.com/reportsubmission?viewid=url上使用 [URL] 索引標籤。 當您在 [租使用者允許/封鎖 清單] 頁面的 [URL] 索引標籤上，將封鎖的 URL 提交為 [不應該被封鎖 (誤判為) 時，您可以選取 [允許此 URL 新增並允許 URL 輸入]。 如需指示，請 參閱向 Microsoft 回報良好的 URL。

注意事項

我們會針對在郵件流程期間或按兩下時，由篩選器判定為惡意的URL建立允許專案。

我們允許包含原始 URL 變化的後續訊息。 例如，您可以使用 [ 提交] 頁面來報告不正確封鎖的網址 www.contoso.com/abc。 如果您的組織稍後收到包含 URL (的訊息，例如，但不限於： www.contoso.com/abc、 www.contoso.com/abc?id=1、 www.contoso.com/abc/def/gty/uyt?id=5或 www.contoso.com/abc/whatver) ，則不會根據 URL 封鎖訊息。 換句話說，您不需要向 Microsoft 回報相同 URL 的多個變化。

當允許專案中的實體在郵件流程期間或按兩下) 時再次遇到 (時，會覆寫與該實體相關聯的所有篩選。

根據預設，允許 URL 的專案存在 30 天。 在這 30 天內，Microsoft 會從允許項目中學習並 移除這些專案，或自動加以擴充。 在 Microsoft 從移除的允許專案中學習之後，除非在郵件中偵測到其他內容為惡意，否則會傳遞包含這些 URL 的訊息。

在郵件流程期間，如果包含允許 URL 的訊息在篩選堆疊中通過其他檢查，則會傳遞訊息。 例如，如果訊息通過 電子郵件驗證檢查 和檔案篩選，如果訊息也包含允許的URL，就會傳遞訊息。

在單擊期間，URL 允許輸入會覆寫與 URL 實體相關聯的所有篩選，讓用戶能夠存取 URL。

URL 允許專案不會防止安全鏈接保護在 適用於 Office 365 的 Defender 中包裝URL。 如需詳細資訊， 請參閱不要在SafeLinks中重寫清單。

Create 封鎖 URL 的專案

Email 包含這些封鎖 URL 的訊息會被封鎖為高信賴度網路釣魚。 包含封鎖 URL 的訊息會遭到隔離。

若要建立 URL 的區塊專案，請使用下列其中一種方法：

您有下列選項可建立網址的區塊專案：

• 從[提交] 頁面上的 [URL] 索引標籤，位於 https://security.microsoft.com/reportsubmission?viewid=url。 當您在 [租使用者允許/封鎖] 頁面的 [URL] 索引標籤上選取 [封鎖此 URL] 以將封鎖專案新增至 [租使用者允許/封鎖 清單] 頁面上的 [URL] 索引卷標時， (False 負) 。 如需指示，請 參閱向 Microsoft 回報有問題的 URL。

• 從 [租使用者允許/封鎖 清單] 頁面或 PowerShell 中的 [URL] 索引標籤，如本節所述。

使用 Microsoft Defender 入口網站在租用戶允許/封鎖清單中建立URL的封鎖專案

1. 在 Microsoft Defender 入口網站中https://security.microsoft.com，移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者，若要直接移至 [租用戶允許/封鎖清單] 頁面，請使用 https://security.microsoft.com/tenantAllowBlockList。

2. 在 [ 租用戶允許/封鎖清單] 頁面上，選取 [ URL] 索引標籤 。

3. 在 [ URL] 索引標籤 上，選取 [ 封鎖]。

4. 在開啟的 [封鎖 URL] 飛出視窗中，設定下列設定：

   • 新增具有通配符的 URL：每行輸入一個 URL，最多 20 個。 如需 URL 專案的語法詳細資訊，請參閱本文稍後 的租用戶允許/封鎖清單一節的 URL 語法 。

   • 拿掉區塊項目之後：從下列值中選取：

     • 永不過期
     • 1 天
     • 7 天
     • 默認) (30 天
     • 特定日期：最大值為從今天起的90天。

   • 選擇性注意事項：輸入封鎖 URL 原因的描述性文字。

   當您在 [ 封鎖 URL ] 飛出視窗中完成時，請選取 [ 新增]。

回到 [ URL] 索引標籤 上，會列出專案。

使用 PowerShell 在租使用者允許/封鎖清單中建立 URL 的封鎖專案

在 Exchange Online PowerShell 中，使用下列語法：

New-TenantAllowBlockListItems -ListType Url -Block -Entries "Value1","Value2",..."ValueN" <-ExpirationDate <Date> | -NoExpiration> [-Notes <String>]

本範例會新增 URL contoso.com 的區塊專案，以及所有子域 (例如，contoso.com 和 xyz.abc.contoso.com) 。 因為我們未使用 ExpirationDate 或 NoExpiration 參數，所以專案會在 30 天后過期。

New-TenantAllowBlockListItems -ListType Url -Block -Entries *contoso.com

如需詳細的語法和參數資訊，請參閱 New-TenantAllowBlockListItems。

使用 Microsoft Defender 入口網站來檢視租用戶允許/封鎖清單中URL的專案

在 Microsoft Defender 入口網站https://security.microsoft.com中，移至 [規則] 區段中的 [原則 & 規則>]>[威脅原則租使用者允許/封鎖 清單]。 或者，若要直接移至租用戶允許/封鎖 清單 頁面，請使用 https://security.microsoft.com/tenantAllowBlockList。

選取 [ URL] 索引標籤 。

在 [ URL] 索 引標籤上，您可以按下可用的數據行標頭來排序專案。 下列資料列可供使用：

• 值：URL。
• 動作：可用的值為 Allow 或 Block。
• 修改者
• 上次更新
• 上次使用日期：上次在篩選系統中使用專案來覆寫決策的日期。
• 拿掉日期：到期日。
• 附註

若要篩選專案，請選取 [ 篩選]。 下列篩選條件可在開啟的 [ 篩選 ] 飛出視窗中使用：

• 動作：可用的值為 Allow 和 Block。
• 永不過期： 或
• 上次更新時間：選取 [從] 和 [到日期]。
• 上次使用的日期：選取 [從] 和 [到日期]。
• 拿掉於：選取 [從] 和 [到日期]。

當您在 [ 篩選 ] 飛出視窗中完成時，請選取 [ 套用]。 若要清除篩選，請選取 [清除篩選]。

使用 [搜尋] 方塊和對應的值來尋找特定專案。

若要將專案分組，請選取 [ 群組 ]，然後選取 [ 動作]。 若要取消專案群組，請選取 [ 無]。

使用 PowerShell 檢視租使用者允許/封鎖清單中 URL 的專案

在 Exchange Online PowerShell 中，使用下列語法：

Get-TenantAllowBlockListItems -ListType Url [-Allow] [-Block] [-Entry <URLValue>] [<-ExpirationDate <Date> | -NoExpiration>]

此範例會傳回所有允許和封鎖的URL。

Get-TenantAllowBlockListItems -ListType Url

此範例會依封鎖的 URL 篩選結果。

Get-TenantAllowBlockListItems -ListType Url -Block

如需詳細的語法和參數資訊，請參閱 Get-TenantAllowBlockListItems。

使用 Microsoft Defender 入口網站來修改租使用者允許/封鎖清單中URL的專案

在現有的 URL 專案中，您可以變更到期日和附注。

1. 在 Microsoft Defender 入口網站中https://security.microsoft.com，移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者，若要直接移至租用戶允許/封鎖 清單 頁面，請使用 https://security.microsoft.com/tenantAllowBlockList。

2. 選取 [URL] 索引標籤

3. 在 [ URL] 索 引標籤上，選取第一個數據行旁邊的複選框，從清單中選取專案，然後選取出現的 [編輯 ] 動作。

4. 在開啟的 [編輯 URL ] 飛出視窗中，可以使用下列設定：

   • 封鎖專案：
     • 拿掉區塊項目之後：從下列值中選取：
       • 1 天
       • 7 天
       • 30 天
       • 永不過期
       • 特定日期：最大值為從今天起的90天。
     • 選擇性附注
   • 允許專案：
     • 移除[允許輸入]：從下列值中選取：
       • 1 天
       • 7 天
       • 30 天
       • 特定日期：最大值為從今天起的 30 天。
     • 選擇性附注

   當您在 [ 編輯 URL ] 飛出視窗中完成時，請選取 [ 儲存]。

提示

在 [URL] 索引標籤上專案的詳細數據飛出視窗中，使用飛出視窗頂端的 [檢視提交]，移至 [提交] 頁面上對應專案的詳細數據。 如果提交負責在租使用者允許/封鎖清單中建立專案，則可使用此動作。

使用 PowerShell 修改租使用者允許/封鎖清單中 URL 的專案

在 Exchange Online PowerShell 中，使用下列語法：

Set-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

此範例會變更指定 URL 之區塊專案的到期日。

Set-TenantAllowBlockListItems -ListType Url -Entries "~contoso.com" -ExpirationDate "9/1/2022"

如需詳細的語法和參數資訊，請參閱 Set-TenantAllowBlockListItems。

使用 Microsoft Defender 入口網站從租用戶允許/封鎖清單中移除URL的專案

1. 在 Microsoft Defender 入口網站中https://security.microsoft.com，移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者，若要直接移至 [租用戶允許/封鎖清單] 頁面，請使用 https://security.microsoft.com/tenantAllowBlockList。

2. 選取 [ URL] 索引標籤 。

3. 在 [ URL] 索引標籤 上，執行下列其中一個步驟：

   • 選取第一個數據行旁邊的複選框，然後選取出現的 [刪除 ] 動作，以從清單中選取專案。

   • 按兩下複選框以外的數據列中的任何位置，從清單中選取專案。 在開啟的詳細數據飛出視窗中，選取飛出視窗頂端的 [刪除]。

     提示

     若要查看其他項目的詳細數據而不離開詳細數據飛出視窗，請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。

4. 在開啟的警告對話框中，選取 [ 刪除]。

回到 [ URL] 索引標籤 ，專案已不再列出。

提示

您可以選取每個複選框來選取多個專案，或選取 [值 ] 資料行標頭旁邊的複選框來選取所有專案。

使用 PowerShell 從租使用者允許/封鎖清單中移除 URL 的專案

在 Exchange Online PowerShell 中，使用下列語法：

Remove-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>>

本範例會從租使用者允許/封鎖清單中移除指定URL的區塊專案。

Remove-TenantAllowBlockListItems -ListType Url -Entries "*cohovineyard.com

如需詳細的語法和參數資訊，請參閱 Remove-TenantAllowBlockListItems。

租使用者允許/封鎖清單的URL語法

• 允許 IPv4 和 IPv6 位址，但不允許 TCP/UDP 埠。

• 例如，test.pdf) (不允許擴展名。

• 不支援 Unicode，但 Punycode 為 。

• 如果下列所有語句都成立，則允許主機名：

  • 主機名包含句號。
  • 期間的左邊至少有一個字元。
  • 期間右邊至少有兩個字元。

  例如， t.co 是允許的; .com 或 contoso. 不允許。

• 子路徑不表示允許。

  例如， contoso.com 不包含 contoso.com/a。

• 在下列案例中，允許使用通配符 (*) ：

  • 左側通配符後面必須加上句點，才能指定子域。 (僅適用於區塊)

    例如， *.contoso.com 是允許的; *contoso.com 不允許。

  • 右通配符必須遵循正斜線 (/) 才能指定路徑。

    例如， contoso.com/* 是允許的; contoso.com* 或 contoso.com/ab* 不允許。

  • *.com* 無效 (不是可解析的網域，且正確的通配符不會遵循正斜線) 。

  • IP 位址中不允許使用通配符。

• 波狀符號 (~) 字元可在下列案例中使用：

  • 左波狀符號表示網域和所有子域。

    例如， ~contoso.com 包含 contoso.com 與 *.contoso.com。

• 不支援或不需要使用者名稱或密碼。

• 引號 (' 或 「) 無效的字元。

• URL 應該盡可能包含所有重新導向。

URL 輸入案例

下列小節說明有效的 URL 專案及其結果。

案例：最上層網域封鎖

專案： *.<TLD>/*

• 區塊比對：
  • a.TLD
  • TLD/abcd
  • b.abcd.TLD
  • TLD/contoso.com
  • TLD/q=contoso.com
  • www.abcd.TLD
  • www.abcd.TLD/q=a@contoso.com

案例：沒有通配符

專案： contoso.com

• 允許比對：contoso.com

• 允許不相符：

  • abc-contoso.com
  • contoso.com/a
  • payroll.contoso.com
  • test.com/contoso.com
  • test.com/q=contoso.com
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

• 區塊比對：

  • contoso.com
  • contoso.com/a
  • payroll.contoso.com
  • test.com/contoso.com
  • test.com/q=contoso.com
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

• 區塊不相符：abc-contoso.com

案例：左側通配符 (子域)

提示

只有進階 傳遞組態才支援此模式的允許專案。

專案： *.contoso.com

• 允許比對 和 封鎖比對：

  • www.contoso.com
  • xyz.abc.contoso.com

• [允許不相符] 和 [封鎖不相符]：

  • 123contoso.com
  • contoso.com
  • test.com/contoso.com
  • www.contoso.com/abc

案例：路徑頂端的右通配符

專案： contoso.com/a/*

• 允許比對 和 封鎖比對：

  • contoso.com/a/b
  • contoso.com/a/b/c
  • contoso.com/a/?q=joe@t.com

• [允許不相符] 和 [封鎖不相符]：

  • contoso.com
  • contoso.com/a
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

案例：左波狀符號

提示

只有進階 傳遞組態才支援此模式的允許專案。

專案： ~contoso.com

• 允許比對 和 封鎖比對：

  • contoso.com
  • www.contoso.com
  • xyz.abc.contoso.com

• [允許不相符] 和 [封鎖不相符]：

  • 123contoso.com
  • contoso.com/abc
  • www.contoso.com/abc

案例：正確的通配符後綴

專案： contoso.com/*

• 允許比對 和 封鎖比對：

  • contoso.com/?q=whatever@fabrikam.com
  • contoso.com/a
  • contoso.com/a/b/c
  • contoso.com/ab
  • contoso.com/b
  • contoso.com/b/a/c
  • contoso.com/ba

• 允許不相符 和 封鎖不相符：contoso.com

案例：左通配符子域和右通配符後綴

提示

只有進階 傳遞組態才支援此模式的允許專案。

專案： *.contoso.com/*

• 允許比對 和 封鎖比對：

  • abc.contoso.com/ab
  • abc.xyz.contoso.com/a/b/c
  • www.contoso.com/a
  • www.contoso.com/b/a/c
  • xyz.contoso.com/ba

• 允許不相符 和 封鎖不相符：contoso.com/b

案例：左右波狀符號

提示

只有進階 傳遞組態才支援此模式的允許專案。

專案： ~contoso.com~

• 允許比對 和 封鎖比對：

  • contoso.com
  • contoso.com/a
  • www.contoso.com
  • www.contoso.com/b
  • xyz.abc.contoso.com
  • abc.xyz.contoso.com/a/b/c
  • contoso.com/b/a/c
  • test.com/contoso.com

• [允許不相符] 和 [封鎖不相符]：

  • 123contoso.com
  • contoso.org
  • test.com/q=contoso.com

案例：IP 位址

專案： 1.2.3.4

• 允許比對 和 封鎖比對：1.2.3.4

• [允許不相符] 和 [封鎖不相符]：

  • 1.2.3.4/a
  • 11.2.3.4/a

具有右通配符的IP位址

專案： 1.2.3.4/*

• 允許比對 和 封鎖比對：
  • 1.2.3.4/b
  • 1.2.3.4/baaaa

無效專案的範例

下列項目無效：

• 缺少或無效的定義域值：

  • contoso
  • *.contoso.*
  • *。Com
  • *.pdf

• 文字或不含間距字元的通配符：

  • *contoso.com
  • contoso.com*
  • *1.2.3.4
  • 1.2.3.4*
  • contoso.com/a*
  • contoso.com/ab*

• 具有埠的 IP 位址：

  • contoso.com:443
  • abc.contoso.com:25

• 非描述性通配符：

  • *
  • *.*

• 中間通配符：

  • conto*so.com
  • conto~so.com

• 雙通配符

  • contoso.com/**
  • contoso.com/*/*

相關文章

• 使用提交頁面將可疑的垃圾郵件、網路釣魚、URL、遭到封鎖的合法電子郵件，以及電子郵件附件提交給 Microsoft
• 報告誤判和誤判
• 管理租用戶允許/封鎖清單中的允許和區塊
• 允許或封鎖租用戶允許/封鎖清單中的檔案
• 允許或封鎖租用戶允許/封鎖清單中的電子郵件