使用租用戶允許/封鎖清單允許或封鎖 URL
提示
您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款。
在 Exchange Online 或獨立 Exchange Online Protection (EOP 中具有信箱的 Microsoft 365 組織) 沒有 Exchange Online 信箱的組織中,系統管理員可以在租用戶允許/封鎖清單中建立及管理 URL 的專案。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊。
注意事項
若要允許來自第三方網路釣魚仿真的網路釣魚 URL,請使用進階 傳遞組態 來指定 URL。 請勿使用租用戶允許/封鎖清單。
本文說明系統管理員如何在 Microsoft Defender 入口網站和 Exchange Online PowerShell 中管理 URL 的專案。
開始之前有哪些須知?
您會在 開啟 Microsoft Defender 入口網站https://security.microsoft.com。 若要直接移至 [ 租使用者允許/封鎖清單 ] 頁面, 請使用 https://security.microsoft.com/tenantAllowBlockList。 若要直接移 至提交頁面 ,請使用 https://security.microsoft.com/reportsubmission。
若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。 若要連接至獨立版 EOP PowerShell,請參閱連線到 Exchange Online Protection PowerShell。
如需 URL 專案語法,請參閱本文稍後 的租使用者允許/封鎖清單一節的 URL 語法 。
-
- URL 的專案限制:
- Exchange Online Protection:允許專案的最大數目為 500,而封鎖專案的最大數目為 500 (總) 1000 個 URL 專案。
- 適用於 Office 365 的 Defender 方案 1:允許專案的最大數目為 1000,而封鎖專案的最大數目為 1000 (總) 2000 個 URL 專案。
- 適用於 Office 365 的 Defender 方案 2:允許專案的最大數目為 5000,而封鎖專案的最大數目為 10000 (總計為 15000 個 URL 專案) 。
您可以在 URL 項目中輸入最多 250 個字元。
項目應該會在 5 分鐘內作用中。
您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:
- Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) ( 只會影響 Defender 入口網站,而不會影響 PowerShell) :
- 從租使用者允許/封鎖清單中新增和移除專案:以下列許可權指派的成員資格:
- 授權和設定/安全性設定/偵測微調 (管理)
- 租使用者允許/封鎖清單的唯讀存取權:
- 授權和設定/安全性設定/只讀。
- 授權和設定/安全性設定/核心安全性設定 (讀取) 。
- 從租使用者允許/封鎖清單中新增和移除專案:以下列許可權指派的成員資格:
- Exchange Online 權限:
- 從租使用者允許/封鎖清單新增和移除專案:下列其中一個角色群組的成員資格:
- 組織管理 或 安全性系統管理員 (安全性系統管理員角色) 。
- 安全性操作員 (租使用者 AllowBlockList Manager) 。
- 租使用者允許/封鎖清單的只讀存取權:下列其中一個角色群組中的成員資格:
- 全域讀取者
- 安全性讀取者
- 僅限檢視組態
- View-Only Organization Management
- 從租使用者允許/封鎖清單新增和移除專案:下列其中一個角色群組的成員資格:
- Microsoft Entra 權限:全域管理員、安全性系統管理員、全域讀取者或安全性讀取者角色的成員資格,可為使用者提供 Microsoft 365 中其他功能的必要許可權和許可權。
- Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) ( 只會影響 Defender 入口網站,而不會影響 PowerShell) :
Create 允許URL的專案
您無法直接在租使用者允許/封鎖清單中建立URL的允許專案。 不必要的允許專案會向系統篩選的惡意電子郵件公開您的組織。
相反地,您會在 的 [提交] 頁面https://security.microsoft.com/reportsubmission?viewid=url上使用 [URL] 索引標籤。 當您在 [租使用者允許/封鎖 清單] 頁面的 [URL] 索引標籤上,將封鎖的 URL 提交為 [不應該被封鎖 (誤判為) 時,您可以選取 [允許此 URL 新增並允許 URL 輸入]。 如需指示,請 參閱向 Microsoft 回報良好的 URL。
注意事項
我們會針對在郵件流程期間或按兩下時,由篩選器判定為惡意的URL建立允許專案。
我們允許包含原始 URL 變化的後續訊息。 例如,您可以使用 [ 提交] 頁面來報告不正確封鎖的網址 www.contoso.com/abc
。 如果您的組織稍後收到包含 URL (的訊息,例如,但不限於: www.contoso.com/abc
、 www.contoso.com/abc?id=1
、 www.contoso.com/abc/def/gty/uyt?id=5
或 www.contoso.com/abc/whatver
) ,則不會根據 URL 封鎖訊息。 換句話說,您不需要向 Microsoft 回報相同 URL 的多個變化。
當允許專案中的實體在郵件流程期間或按兩下) 時再次遇到 (時,會覆寫與該實體相關聯的所有篩選。
根據預設,允許 URL 的專案存在 30 天。 在這 30 天內,Microsoft 會從允許項目中學習並 移除這些專案,或自動加以擴充。 在 Microsoft 從移除的允許專案中學習之後,除非在郵件中偵測到其他內容為惡意,否則會傳遞包含這些 URL 的訊息。
在郵件流程期間,如果包含允許 URL 的訊息在篩選堆疊中通過其他檢查,則會傳遞訊息。 例如,如果訊息通過 電子郵件驗證檢查 和檔案篩選,如果訊息也包含允許的URL,就會傳遞訊息。
在單擊期間,URL 允許輸入會覆寫與 URL 實體相關聯的所有篩選,讓用戶能夠存取 URL。
URL 允許專案不會防止安全鏈接保護在 適用於 Office 365 的 Defender 中包裝URL。 如需詳細資訊, 請參閱不要在SafeLinks中重寫清單。
Create 封鎖 URL 的專案
Email 包含這些封鎖 URL 的訊息會被封鎖為高信賴度網路釣魚。 包含封鎖 URL 的訊息會遭到隔離。
若要建立 URL 的區塊專案,請使用下列其中一種方法:
您有下列選項可建立網址的區塊專案:
從[提交] 頁面上的 [URL] 索引標籤,位於 https://security.microsoft.com/reportsubmission?viewid=url。 當您在 [租使用者允許/封鎖] 頁面的 [URL] 索引標籤上選取 [封鎖此 URL] 以將封鎖專案新增至 [租使用者允許/封鎖 清單] 頁面上的 [URL] 索引卷標時, (False 負) 。 如需指示,請 參閱向 Microsoft 回報有問題的 URL。
從 [租使用者允許/封鎖 清單] 頁面或 PowerShell 中的 [URL] 索引標籤,如本節所述。
使用 Microsoft Defender 入口網站在租用戶允許/封鎖清單中建立URL的封鎖專案
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至 [租用戶允許/封鎖清單] 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
在 [ 租用戶允許/封鎖清單] 頁面上,選取 [ URL] 索引標籤 。
在 [ URL] 索引標籤 上,選取 [ 封鎖]。
在開啟的 [封鎖 URL] 飛出視窗中,設定下列設定:
新增具有通配符的 URL:每行輸入一個 URL,最多 20 個。 如需 URL 專案的語法詳細資訊,請參閱本文稍後 的租用戶允許/封鎖清單一節的 URL 語法 。
拿掉區塊項目之後:從下列值中選取:
- 永不過期
- 1 天
- 7 天
- 默認) (30 天
- 特定日期:最大值為從今天起的90天。
選擇性注意事項:輸入封鎖 URL 原因的描述性文字。
當您在 [ 封鎖 URL ] 飛出視窗中完成時,請選取 [ 新增]。
回到 [ URL] 索引標籤 上,會列出專案。
使用 PowerShell 在租使用者允許/封鎖清單中建立 URL 的封鎖專案
在 Exchange Online PowerShell 中,使用下列語法:
New-TenantAllowBlockListItems -ListType Url -Block -Entries "Value1","Value2",..."ValueN" <-ExpirationDate <Date> | -NoExpiration> [-Notes <String>]
本範例會新增 URL contoso.com 的區塊專案,以及所有子域 (例如,contoso.com 和 xyz.abc.contoso.com) 。 因為我們未使用 ExpirationDate 或 NoExpiration 參數,所以專案會在 30 天后過期。
New-TenantAllowBlockListItems -ListType Url -Block -Entries *contoso.com
如需詳細的語法和參數資訊,請參閱 New-TenantAllowBlockListItems。
使用 Microsoft Defender 入口網站來檢視租用戶允許/封鎖清單中URL的專案
在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 [規則] 區段中的 [原則 & 規則>]>[威脅原則租使用者允許/封鎖 清單]。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
選取 [ URL] 索引標籤 。
在 [ URL] 索 引標籤上,您可以按下可用的數據行標頭來排序專案。 下列資料列可供使用:
- 值:URL。
- 動作:可用的值為 Allow 或 Block。
- 修改者
- 上次更新
- 上次使用日期:上次在篩選系統中使用專案來覆寫決策的日期。
- 拿掉日期:到期日。
- 附註
若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟的 [ 篩選 ] 飛出視窗中使用:
- 動作:可用的值為 Allow 和 Block。
- 永不過期: 或
- 上次更新時間:選取 [從] 和 [到日期]。
- 上次使用的日期:選取 [從] 和 [到日期]。
- 拿掉於:選取 [從] 和 [到日期]。
當您在 [ 篩選 ] 飛出視窗中完成時,請選取 [ 套用]。 若要清除篩選,請選取 [清除篩選]。
使用 [搜尋] 方塊和對應的值來尋找特定專案。
若要將專案分組,請選取 [ 群組 ],然後選取 [ 動作]。 若要取消專案群組,請選取 [ 無]。
使用 PowerShell 檢視租使用者允許/封鎖清單中 URL 的專案
在 Exchange Online PowerShell 中,使用下列語法:
Get-TenantAllowBlockListItems -ListType Url [-Allow] [-Block] [-Entry <URLValue>] [<-ExpirationDate <Date> | -NoExpiration>]
此範例會傳回所有允許和封鎖的URL。
Get-TenantAllowBlockListItems -ListType Url
此範例會依封鎖的 URL 篩選結果。
Get-TenantAllowBlockListItems -ListType Url -Block
如需詳細的語法和參數資訊,請參閱 Get-TenantAllowBlockListItems。
使用 Microsoft Defender 入口網站來修改租使用者允許/封鎖清單中URL的專案
在現有的 URL 專案中,您可以變更到期日和附注。
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
選取 [URL] 索引標籤
在 [ URL] 索 引標籤上,選取第一個數據行旁邊的複選框,從清單中選取專案,然後選取出現的 [編輯 ] 動作。
在開啟的 [編輯 URL ] 飛出視窗中,可以使用下列設定:
- 封鎖專案:
- 拿掉區塊項目之後:從下列值中選取:
- 1 天
- 7 天
- 30 天
- 永不過期
- 特定日期:最大值為從今天起的90天。
- 選擇性附注
- 拿掉區塊項目之後:從下列值中選取:
- 允許專案:
- 移除[允許輸入]:從下列值中選取:
- 1 天
- 7 天
- 30 天
- 特定日期:最大值為從今天起的 30 天。
- 選擇性附注
- 移除[允許輸入]:從下列值中選取:
當您在 [ 編輯 URL ] 飛出視窗中完成時,請選取 [ 儲存]。
- 封鎖專案:
提示
在 [URL] 索引標籤上專案的詳細數據飛出視窗中,使用飛出視窗頂端的 [檢視提交],移至 [提交] 頁面上對應專案的詳細數據。 如果提交負責在租使用者允許/封鎖清單中建立專案,則可使用此動作。
使用 PowerShell 修改租使用者允許/封鎖清單中 URL 的專案
在 Exchange Online PowerShell 中,使用下列語法:
Set-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
此範例會變更指定 URL 之區塊專案的到期日。
Set-TenantAllowBlockListItems -ListType Url -Entries "~contoso.com" -ExpirationDate "9/1/2022"
如需詳細的語法和參數資訊,請參閱 Set-TenantAllowBlockListItems。
使用 Microsoft Defender 入口網站從租用戶允許/封鎖清單中移除URL的專案
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至 [租用戶允許/封鎖清單] 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
選取 [ URL] 索引標籤 。
在 [ URL] 索引標籤 上,執行下列其中一個步驟:
選取第一個數據行旁邊的複選框,然後選取出現的 [刪除 ] 動作,以從清單中選取專案。
按兩下複選框以外的數據列中的任何位置,從清單中選取專案。 在開啟的詳細數據飛出視窗中,選取飛出視窗頂端的 [刪除]。
提示
若要查看其他項目的詳細數據而不離開詳細數據飛出視窗,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。
在開啟的警告對話框中,選取 [ 刪除]。
回到 [ URL] 索引標籤 ,專案已不再列出。
提示
您可以選取每個複選框來選取多個專案,或選取 [值 ] 資料行標頭旁邊的複選框來選取所有專案。
使用 PowerShell 從租使用者允許/封鎖清單中移除 URL 的專案
在 Exchange Online PowerShell 中,使用下列語法:
Remove-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>>
本範例會從租使用者允許/封鎖清單中移除指定URL的區塊專案。
Remove-TenantAllowBlockListItems -ListType Url -Entries "*cohovineyard.com
如需詳細的語法和參數資訊,請參閱 Remove-TenantAllowBlockListItems。
租使用者允許/封鎖清單的URL語法
允許 IPv4 和 IPv6 位址,但不允許 TCP/UDP 埠。
例如,test.pdf) (不允許擴展名。
不支援 Unicode,但 Punycode 為 。
如果下列所有語句都成立,則允許主機名:
- 主機名包含句號。
- 期間的左邊至少有一個字元。
- 期間右邊至少有兩個字元。
例如,
t.co
是允許的;.com
或contoso.
不允許。子路徑不表示允許。
例如,
contoso.com
不包含contoso.com/a
。在下列案例中,允許使用通配符 (*) :
左側通配符後面必須加上句點,才能指定子域。 (僅適用於區塊)
例如,
*.contoso.com
是允許的;*contoso.com
不允許。右通配符必須遵循正斜線 (/) 才能指定路徑。
例如,
contoso.com/*
是允許的;contoso.com*
或contoso.com/ab*
不允許。*.com*
無效 (不是可解析的網域,且正確的通配符不會遵循正斜線) 。IP 位址中不允許使用通配符。
波狀符號 (~) 字元可在下列案例中使用:
左波狀符號表示網域和所有子域。
例如,
~contoso.com
包含contoso.com
與*.contoso.com
。
不支援或不需要使用者名稱或密碼。
引號 (' 或 「) 無效的字元。
URL 應該盡可能包含所有重新導向。
URL 輸入案例
下列小節說明有效的 URL 專案及其結果。
案例:最上層網域封鎖
專案: *.<TLD>/*
- 區塊比對:
- a.TLD
- TLD/abcd
- b.abcd.TLD
- TLD/contoso.com
- TLD/q=contoso.com
www.abcd.TLD
www.abcd.TLD/q=a@contoso.com
案例:沒有通配符
專案: contoso.com
允許比對:contoso.com
允許不相符:
- abc-contoso.com
- contoso.com/a
- payroll.contoso.com
- test.com/contoso.com
- test.com/q=contoso.com
www.contoso.com
www.contoso.com/q=a@contoso.com
區塊比對:
- contoso.com
- contoso.com/a
- payroll.contoso.com
- test.com/contoso.com
- test.com/q=contoso.com
www.contoso.com
www.contoso.com/q=a@contoso.com
區塊不相符:abc-contoso.com
案例:左側通配符 (子域)
提示
只有進階 傳遞組態才支援此模式的允許專案。
專案: *.contoso.com
允許比對 和 封鎖比對:
www.contoso.com
- xyz.abc.contoso.com
[允許不相符] 和 [封鎖不相符]:
- 123contoso.com
- contoso.com
- test.com/contoso.com
www.contoso.com/abc
案例:路徑頂端的右通配符
專案: contoso.com/a/*
允許比對 和 封鎖比對:
- contoso.com/a/b
- contoso.com/a/b/c
- contoso.com/a/?q=joe@t.com
[允許不相符] 和 [封鎖不相符]:
- contoso.com
- contoso.com/a
www.contoso.com
www.contoso.com/q=a@contoso.com
案例:左波狀符號
提示
只有進階 傳遞組態才支援此模式的允許專案。
專案: ~contoso.com
允許比對 和 封鎖比對:
- contoso.com
www.contoso.com
- xyz.abc.contoso.com
[允許不相符] 和 [封鎖不相符]:
- 123contoso.com
- contoso.com/abc
www.contoso.com/abc
案例:正確的通配符後綴
專案: contoso.com/*
允許比對 和 封鎖比對:
- contoso.com/?q=whatever@fabrikam.com
- contoso.com/a
- contoso.com/a/b/c
- contoso.com/ab
- contoso.com/b
- contoso.com/b/a/c
- contoso.com/ba
允許不相符 和 封鎖不相符:contoso.com
案例:左通配符子域和右通配符後綴
提示
只有進階 傳遞組態才支援此模式的允許專案。
專案: *.contoso.com/*
允許比對 和 封鎖比對:
- abc.contoso.com/ab
- abc.xyz.contoso.com/a/b/c
www.contoso.com/a
www.contoso.com/b/a/c
- xyz.contoso.com/ba
允許不相符 和 封鎖不相符:contoso.com/b
案例:左右波狀符號
提示
只有進階 傳遞組態才支援此模式的允許專案。
專案: ~contoso.com~
允許比對 和 封鎖比對:
- contoso.com
- contoso.com/a
www.contoso.com
www.contoso.com/b
- xyz.abc.contoso.com
- abc.xyz.contoso.com/a/b/c
- contoso.com/b/a/c
- test.com/contoso.com
[允許不相符] 和 [封鎖不相符]:
- 123contoso.com
- contoso.org
- test.com/q=contoso.com
案例:IP 位址
專案: 1.2.3.4
允許比對 和 封鎖比對:1.2.3.4
[允許不相符] 和 [封鎖不相符]:
- 1.2.3.4/a
- 11.2.3.4/a
具有右通配符的IP位址
專案: 1.2.3.4/*
- 允許比對 和 封鎖比對:
- 1.2.3.4/b
- 1.2.3.4/baaaa
無效專案的範例
下列項目無效:
缺少或無效的定義域值:
- contoso
- *.contoso.*
- *。Com
文字或不含間距字元的通配符:
- *contoso.com
- contoso.com*
- *1.2.3.4
- 1.2.3.4*
- contoso.com/a*
- contoso.com/ab*
具有埠的 IP 位址:
- contoso.com:443
- abc.contoso.com:25
非描述性通配符:
- *
- *.*
中間通配符:
- conto*so.com
- conto~so.com
雙通配符
- contoso.com/**
- contoso.com/*/*
相關文章
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: