使用租用戶允許/封鎖清單允許或封鎖檔案
提示
您知道您可以免費試用 Microsoft Defender XDR for Office 365 方案 2 中的功能嗎? 在 Microsoft Defender 入口網站試用中樞使用適用於 Office 365 的 90 天 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款。
在Microsoft 365 個在 Exchange Online 或獨立 Exchange Online Protection 中具有信箱的組織 (EOP) 沒有 Exchange Online 信箱的組織中,系統管理員可以建立和管理租用戶允許/封鎖清單中檔案的專案。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊。
本文說明系統管理員如何在 Microsoft Defender 入口網站和 Exchange Online PowerShell 中管理檔案的專案。
開始之前有哪些須知?
您會在 開啟 Microsoft Defender 入口網站。https://security.microsoft.com 若要直接移至 [ 租使用者允許/封鎖清單 ] 頁面, 請使用 https://security.microsoft.com/tenantAllowBlockList。 若要直接移 至提交頁面 ,請使用 https://security.microsoft.com/reportsubmission。
若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。 若要連接至獨立版 EOP PowerShell,請參閱連線到 Exchange Online Protection PowerShell。
您可以使用檔案的 SHA256 哈希值來指定檔案。 若要在 Windows 中尋找檔案的 SHA256 哈希值,請在命令提示字元中執行下列命令:
certutil.exe -hashfile "<Path>\<Filename>" SHA256
例如,此值可能為
768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a
。 不支援 pHash) 值 (感知哈希。檔案的專案限制:
- Exchange Online Protection:允許專案的最大數目為 500,而封鎖專案的最大數目為 500 (總計 1000 個檔案專案) 。
- 適用於 Office 365 的 Defender 方案 1:允許專案的最大數目為 1000,而封鎖專案的最大數目為 1000 (總) 2000 個檔案專案。
- 適用於 Office 365 的 Defender 方案 2:允許專案的最大數目為 5000,而封鎖專案的最大數目為 10000, (總) 為 15000 個檔案專案。
您可以在檔案項目中輸入最多 64 個字元。
項目應該會在 5 分鐘內作用中。
您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:
Microsoft Defender XDR 整合角色型訪問控制 (RBAC) ( 如果適用於Office 365 的 Defender 許可權為作用中的電子郵件 & 共同作業>。只會影響 Defender 入口網站,而不會影響 PowerShell) :授權和設定/安全性設定/偵測調整 (管理) 或 (讀取) 的授權和設定/安全性設定/核心安全性設定。
-
-
從租使用者允許/封鎖清單新增和移除專案:下列其中一個角色群組的成員資格:
- 組織管理 或 安全性系統管理員 (安全性系統管理員角色) 。
- 安全性操作員 (租使用者 AllowBlockList Manager) 。
-
租使用者允許/封鎖清單的只讀存取權:下列其中一個角色群組中的成員資格:
- 全域讀取者
- 安全性讀取者
- 僅限檢視組態
- View-Only Organization Management
-
從租使用者允許/封鎖清單新增和移除專案:下列其中一個角色群組的成員資格:
Microsoft權限:全域管理員、安全性系統管理員*、全域讀取者或安全性讀取者角色的成員資格,可為使用者提供Microsoft 365 中其他功能的必要許可權和許可權。
重要事項
* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
[ 檔案] 索引標籤僅適用於具有適用於端點的 Microsoft Defender XDR 或 Microsoft Defender 方案 2 的組織中的 [ 提交 ] 頁面。 如需從 [ 檔案 ] 索引卷標提交檔案的資訊和指示,請參閱 在適用於端點Microsoft Defender 中提交檔案。
建立檔案的允許專案
您無法直接在租使用者允許/封鎖清單中建立檔案的允許專案。 不必要的允許專案會向系統篩選的惡意電子郵件公開您的組織。
相反地,您會在 的 [提交] 頁面上使用 [電子郵件附件] 索引標籤https://security.microsoft.com/reportsubmission?viewid=emailAttachment。 當我確認檔案已清除時提交封鎖的檔案時,您可以在 [租使用者允許/封鎖清單] 頁面的 [檔案] 索引卷標上,選取 [允許此檔案新增檔案的允許專案]。 如需指示, 請參閱提交良好的電子郵件附件至Microsoft。
提示
在郵件流程期間,會根據判斷郵件為惡意的篩選條件,新增來自提交專案的允許專案。 例如,如果寄件者電子郵件地址和郵件中的URL判斷為惡意,則會針對發件者建立允許專案, (電子郵件位址或網域) 和URL。
在郵件流程或點選期間,如果包含允許專案中實體的訊息在篩選堆疊中通過其他檢查,則會傳遞訊息 (略過與允許實體相關聯的所有篩選) 。 例如,如果郵件通過 電子郵件驗證檢查、URL 篩選和檔案篩選,則如果郵件也是來自允許的寄件者,則會傳遞來自允許寄件者電子郵件地址的郵件。
根據預設,在篩選系統判斷實體是乾淨的,然後移除允許項目之後,網 域和電子郵件地址、 檔案和 URL 的允許專案會保留45天。 或者,您可以將允許項目設定為在建立專案后最多 30 天到期。 允許 詐騙寄件人的 專案永不過期。
在單擊期間,檔案允許專案會覆寫與檔案實體相關聯的所有篩選,讓用戶能夠存取檔案。
建立檔案的區塊專案
包含這些封鎖檔案的電子郵件訊息會被封鎖為 惡意代碼。 包含已封鎖檔案的訊息會遭到隔離。
若要建立檔案的區塊專案,請使用下列其中一種方法:
從[提交] 頁面上的 [電子郵件附件] 索引標籤,位於 https://security.microsoft.com/reportsubmission?viewid=emailAttachment。 當我確認檔案是威脅時提交檔案時,您可以選取 [封鎖此檔案] 將封鎖專案新增至 [租用戶允許/封鎖清單] 頁面上的 [檔案] 索引卷標。 如需指示,請 參閱將可疑的電子郵件附件回報給Microsoft。
從 [租用戶允許/封鎖清單] 頁面上的 [檔案] 索引卷標,或在 PowerShell 中,如本節所述。
使用 Microsoft Defender 入口網站建立租用戶允許/封鎖清單中檔案的封鎖專案
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段 >[租用戶允許/封鎖清單]。 或者,若要直接移至 [ 租用戶允許/封鎖清單 ] 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
在 [ 租使用者允許/封鎖清單] 頁面上,選取 [ 檔案] 索引標籤 。
在 [ 檔案] 索引標籤 上,選取 [ 封鎖]。
在開啟的 [封鎖檔案 ] 飛出視窗中,設定下列設定:
新增檔案哈希:每行輸入一個SHA256哈希值,最多20個。
拿掉區塊項目之後:從下列值中選取:
- 1 天
- 7 天
- 默認) (30 天
- 永不過期
- 特定日期:最大值為從今天起的90天。
選擇性注意事項:輸入封鎖檔案原因的描述性文字。
當您在 [ 封鎖檔案 ] 飛出視窗中完成時,請選取 [ 新增]。
回到 [ 檔案] 索引 標籤,會列出專案。
使用 PowerShell 建立租使用者允許/封鎖清單中檔案的封鎖專案
在 Exchange Online PowerShell 中,使用下列語法:
New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]
本範例會為從未過期的指定檔案新增區塊專案。
New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration
如需詳細的語法和參數資訊,請參閱 New-TenantAllowBlockListItems。
使用 Microsoft Defender 入口網站來檢視租使用者允許/封鎖清單中檔案的專案
在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 [規則] 區段中的 [原則 & 規則>][威脅>原則租使用者允許/封鎖清單]。 或者,若要直接移至 [ 租用戶允許/封鎖清單 ] 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
選取 [ 檔案] 索引標籤 。
在 [ 檔案] 索引 標籤上,您可以按兩下可用的數據行標頭來排序專案。 下列資料列可供使用:
- 值:檔案哈希。
- 動作:可用的值為 Allow 或 Block。
- 修改者
- 上次更新
- 上次使用日期:上次在篩選系統中使用專案來覆寫決策的日期。
- 拿掉日期:到期日。
- 附註
若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟的 [ 篩選 ] 飛出視窗中使用:
- 動作:可用的值為 Allow 和 Block。
- 永不過期: 或
- 上次更新時間:選取 [從] 和 [到日期]。
- 上次使用的日期:選取 [從] 和 [到日期]。
- 拿掉於:選取 [從] 和 [到日期]。
當您在 [ 篩選 ] 飛出視窗中完成時,請選取 [ 套用]。 若要清除篩選,請選取 [清除篩選]。
使用 [ 搜尋] 方塊和對應的值來尋找特定專案。
若要將專案分組,請選取 [ 群組 ],然後選取 [ 動作]。 若要取消專案群組,請選取 [ 無]。
使用 PowerShell 檢視租使用者允許/封鎖清單中檔案的專案
在 Exchange Online PowerShell 中,使用下列語法:
Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]
此範例會傳回所有允許和封鎖的檔案。
Get-TenantAllowBlockListItems -ListType FileHash
此範例會傳回指定檔案哈希值的資訊。
Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"
此範例會依封鎖的檔案篩選結果。
Get-TenantAllowBlockListItems -ListType FileHash -Block
如需詳細的語法和參數資訊,請參閱 Get-TenantAllowBlockListItems。
使用 Microsoft Defender 入口網站來修改租用戶允許/封鎖清單中檔案的專案
在現有的檔案專案中,您可以變更到期日和附注。
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段 >[租用戶允許/封鎖清單]。 或者,若要直接移至 [ 租用戶允許/封鎖清單 ] 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
選取 [檔案] 索引標籤
在 [ 檔案] 索引 標籤上,選取第一個資料行旁邊的複選框,然後選取出現的 [編輯 ] 動作,從清單中選取專案。
在開啟的 [編輯檔案 ] 飛出視窗中,可以使用下列設定:
-
封鎖專案:
-
拿掉區塊項目之後:從下列值中選取:
- 1 天
- 7 天
- 30 天
- 永不過期
- 特定日期:最大值為從今天起的90天。
- 選擇性附注
-
拿掉區塊項目之後:從下列值中選取:
-
允許專案:
-
移除[允許輸入]:從下列值中選取:
- 1 天
- 7 天
- 30 天
- 上次使用日期后的 45 天
- 特定日期:最大值為從今天起的 30 天。
- 選擇性附注
-
移除[允許輸入]:從下列值中選取:
當您在 [ 編輯檔案 ] 飛出視窗中完成時,請選取 [ 儲存]。
-
封鎖專案:
提示
在 [檔案] 索引標籤上專案的詳細數據飛出視窗中,使用飛出視窗頂端的 [檢視提交],移至 [提交] 頁面上對應專案的詳細數據。 如果提交負責在租使用者允許/封鎖清單中建立專案,則可使用此動作。
使用 PowerShell 修改租使用者允許/封鎖清單中檔案的現有允許或封鎖專案
在 Exchange Online PowerShell 中,使用下列語法:
Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
此範例會變更指定之檔案區塊專案的到期日。
Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"
如需詳細的語法和參數資訊,請參閱 Set-TenantAllowBlockListItems。
使用 Microsoft Defender 入口網站,從租用戶允許/封鎖清單中移除檔案的專案
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段 >[租用戶允許/封鎖清單]。 或者,若要直接移至 [ 租用戶允許/封鎖清單 ] 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
選取 [ 檔案] 索引標籤 。
在 [ 檔案] 索引 標籤上,執行下列其中一個步驟:
選取第一個數據行旁邊的複選框,然後選取出現的 [刪除 ] 動作,以從清單中選取專案。
按兩下複選框以外的數據列中的任何位置,從清單中選取專案。 在開啟的詳細數據飛出視窗中,選取飛出視窗頂端的 [刪除]。
提示
若要查看其他項目的詳細數據而不離開詳細數據飛出視窗,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。
在開啟的警告對話框中,選取 [ 刪除]。
回到 [ 檔案] 索引 標籤,專案已不再列出。
提示
您可以選取每個複選框來選取多個專案,或選取 [值 ] 資料行標頭旁邊的複選框來選取所有專案。
使用 PowerShell 從租使用者允許/封鎖清單中移除檔案的專案
在 Exchange Online PowerShell 中,使用下列語法:
Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>
此範例會從租使用者允許/封鎖清單中移除指定的檔案區塊。
Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"
如需詳細的語法和參數資訊,請參閱 Remove-TenantAllowBlockListItems。
相關文章
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應