使用租户允许/阻止列表允许或阻止文件

• 适用于:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗？ 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。

在 Microsoft 365 组织中邮箱位于 Exchange Online 或独立Exchange Online Protection (EOP) 组织中没有Exchange Online邮箱，管理员可以创建和管理租户允许/阻止列表中的文件的条目。 有关租户允许/阻止列表的详细信息，请参阅 管理租户允许/阻止列表中的允许和块。

本文介绍管理员如何在 Microsoft Defender 门户和 PowerShell Exchange Online 中管理文件的条目。

开始前，有必要了解什么？

• 在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到“租户允许/阻止Lists”页，请使用 https://security.microsoft.com/tenantAllowBlockList。 若要直接转到 “提交” 页，请使用 https://security.microsoft.com/reportsubmission。

• 若要连接到 Exchange Online PowerShell，请参阅连接到 Exchange Online PowerShell。 若要连接到独立 EOP PowerShell，请参阅连接到 Exchange Online Protection PowerShell。

• 使用文件的 SHA256 哈希值指定文件。 若要在 Windows 中查找文件的 SHA256 哈希值，请在命令提示符中运行以下命令：

  certutil.exe -hashfile "<Path>\<Filename>" SHA256
  

  示例值为 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a。 不支持感知哈希 (pHash) 值。

• 文件的输入限制：

  • Exchange Online Protection：允许条目的最大数目为 500，块条目的最大数目为 500 (总共) 1000 个文件条目。
  • Defender for Office 365计划 1：允许条目的最大数目为 1000，块条目的最大数目为 1000 (总共) 2000 个文件条目。
  • Defender for Office 365计划 2：允许条目的最大数目为 5000，块条目的最大数目为 10000 (总共) 15000 个文件条目。

• 最多可以在文件条目中输入 64 个字符。

• 条目应在 5 分钟内处于活动状态。

• 需要先分配权限，然后才能执行本文中的过程。 可以选择下列选项：

  • Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (仅影响 Defender 门户，而不会影响 PowerShell) ：授权和设置/安全设置/检测优化 (管理) 或授权和设置/安全设置/核心安全设置 (读取) 。
  • Exchange Online权限：
    • 在租户允许/阻止列表中添加和删除条目：以下角色组中的成员身份：
      • 组织管理 或 安全管理员 (安全管理员角色) 。
      • 安全操作员 (Tenant AllowBlockList Manager) 。
    • 对租户允许/阻止列表的只读访问权限：以下角色组中的成员身份：
      • 全局读取器
      • 安全信息读取者
      • 仅查看配置
      • View-Only Organization Management
  • Microsoft Entra权限：全局管理员、安全管理员、全局读取者或安全读取者角色的成员身份为用户提供 Microsoft 365 中其他功能的所需权限和权限。

• “文件”选项卡仅在具有Microsoft Defender XDR或计划 2 Microsoft Defender for Endpoint的组织中提供“提交”页。 有关从“文件”选项卡提交文件的信息和说明，请参阅在 Microsoft Defender for Endpoint 中提交文件。

Create允许文件的条目

不能直接在租户允许/阻止列表中为文件创建允许条目。 不必要的允许条目向系统筛选的恶意电子邮件公开你的组织。

请改用 “提交” 页上https://security.microsoft.com/reportsubmission?viewid=emailAttachment的 “Email 附件” 选项卡。 将阻止的文件提交为不应阻止 (误报) 时，可以在“租户允许/阻止Lists”页上的“文件”选项卡上选择“允许此文件添加允许项”。 有关说明，请参阅 向 Microsoft 提交良好的电子邮件附件。

注意

允许条目是根据确定邮件在邮件流期间恶意的筛选器添加的。 例如，如果确定发件人电子邮件地址和邮件中的文件是错误的，则会为发件人创建允许条目， (电子邮件地址或域) 和文件。

当在邮件流期间或单击) 时再次遇到允许条目中的实体 (时，将重写与该实体关联的所有筛选器。

默认情况下，允许文件的条目存在 30 天。 在这 30 天内，Microsoft 会从允许条目中学习并 删除它们或自动扩展它们。 Microsoft 从已删除的允许条目中得知后，将传递包含这些实体的消息，除非消息中的其他内容被检测为恶意。

在邮件流期间，如果包含允许实体的邮件通过筛选堆栈中的其他检查，则会传递邮件。 例如，如果邮件通过 电子邮件身份验证检查，则如果邮件还包含允许的文件，则会传递该邮件。

在单击期间，文件允许条目将覆盖与文件实体关联的所有筛选器，从而允许用户访问该文件。

Create阻止文件的条目

Email包含这些被阻止文件的消息被阻止为恶意软件。 包含阻止文件的邮件将被隔离。

若要为文件创建块条目，请使用以下方法之一：

• 在 “提交” 页上https://security.microsoft.com/reportsubmission?viewid=emailAttachment的 “Email附件” 选项卡上。 将文件提交为“应已阻止 (假负) ”时，可以选择“阻止此文件”，将阻止项添加到“租户允许/阻止Lists”页上的“文件”选项卡。 有关说明，请参阅 向 Microsoft 报告可疑的电子邮件附件。

• 从“租户允许/阻止Lists”页上的“文件”选项卡或在 PowerShell 中，如本部分所述。

使用Microsoft Defender门户为租户允许/阻止列表中的文件创建块条目

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到“策略 & 规则>威胁策略>”部分“>租户允许/阻止Lists”。 或者，若要直接转到租户允许/阻止Lists页，请使用 https://security.microsoft.com/tenantAllowBlockList。

2. 在“租户允许/阻止Lists”页上，选择“文件”选项卡。

3. 在“ 文件 ”选项卡上，选择“ 阻止”。

4. 在打开的 “阻止文件 ”浮出控件中，配置以下设置：

   • 添加文件哈希：每行输入一个 SHA256 哈希值，最大值为 20。

   • 删除后块条目：从以下值中进行选择：

     • 1 天
     • 7 天
     • 默认) (30 天
     • 永不过期
     • 特定日期：最大值为从今天起的 90 天。

   • 可选注意：输入描述性文本，了解阻止文件的原因。

   完成“ 阻止文件” 浮出控件后，选择“ 添加”。

返回“ 文件 ”选项卡，将列出条目。

使用 PowerShell 为租户允许/阻止列表中的文件创建块条目

在 Exchange Online PowerShell 中，使用以下语法：

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

本示例为指定的文件添加一个永不过期的块条目。

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

有关详细语法和参数信息，请参阅 New-TenantAllowBlockListItems。

使用Microsoft Defender门户查看租户允许/阻止列表中的文件的条目

在 Microsoft Defender 门户中https://security.microsoft.com，转到“规则”部分中的策略 & 规则>威胁策略>租户允许/阻止Lists。 或者，若要直接转到租户允许/阻止Lists页，请使用 https://security.microsoft.com/tenantAllowBlockList。

选择“ 文件 ”选项卡。

在“ 文件 ”选项卡上，可以通过单击可用的列标题对条目进行排序。 以下列可用：

• 值：文件哈希。
• 操作：可用值为 Allow 或 Block。
• 修改者
• 上次更新
• 上次使用日期：上次在筛选系统中使用该条目以替代判决的日期。
• 删除日期：到期日期。
• 注意

若要筛选条目，请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器：

• 操作：可用值为 Allow 和 Block。
• 永不过期： 或
• 上次更新时间：选择 “从 ”和“ 到 ”日期。
• 上次使用日期：选择 “从 ”和“ 到 ”日期。
• 删除日期：选择 “从 ”和“ 到 ”日期。

完成 筛选器 浮出控件后，选择“ 应用”。 若要清除筛选器，请选择“ 清除筛选器”。

使用“搜索”框和相应的值查找特定条目。

若要对条目进行分组，请选择“组”，然后选择“操作”。 若要取消组合条目，请选择“ 无”。

使用 PowerShell 查看租户允许/阻止列表中的文件的条目

在 Exchange Online PowerShell 中，使用以下语法：

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

此示例返回所有允许和阻止的文件。

Get-TenantAllowBlockListItems -ListType FileHash

此示例返回指定文件哈希值的信息。

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

此示例按阻止的文件筛选结果。

Get-TenantAllowBlockListItems -ListType FileHash -Block

有关详细语法和参数信息，请参阅 Get-TenantAllowBlockListItems。

使用Microsoft Defender门户修改租户允许/阻止列表中的文件的条目

在现有文件条目中，可以更改到期日期和备注。

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到“策略 & 规则>威胁策略>”部分“>租户允许/阻止Lists”。 或者，若要直接转到租户允许/阻止Lists页，请使用 https://security.microsoft.com/tenantAllowBlockList。

2. 选择“ 文件 ”选项卡

3. 在“文件”选项卡上，通过选择第一列旁边的“检查”框，从列表中选择条目，然后选择出现的“编辑”操作。

4. 在打开的 “编辑文件” 浮出控件中，可以使用以下设置：

   • 阻止条目：
     • 删除后块条目：从以下值中进行选择：
       • 1 天
       • 7 天
       • 30 天
       • 永不过期
       • 特定日期：最大值为从今天起的 90 天。
     • 可选备注
   • 允许条目：
     • 删除允许项后：从以下值中进行选择：
       • 1 天
       • 7 天
       • 30 天
       • 特定日期：最大值为从今天开始的 30 天。
     • 可选备注

   完成 “编辑文件” 浮出控件后，选择“ 保存”。

提示

在“文件”选项卡上条目的详细信息浮出控件中，使用浮出控件顶部的“查看提交”转到“提交”页上相应条目的详细信息。 如果提交负责在租户允许/阻止列表中创建条目，则此操作可用。

使用 PowerShell 修改租户允许/阻止列表中的文件的现有允许或阻止条目

在 Exchange Online PowerShell 中，使用以下语法：

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

此示例更改指定文件块条目的到期日期。

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

有关详细语法和参数信息，请参阅 Set-TenantAllowBlockListItems。

使用Microsoft Defender门户从租户允许/阻止列表中删除文件的条目

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到“策略 & 规则>威胁策略>”部分“>租户允许/阻止Lists”。 或者，若要直接转到租户允许/阻止Lists页，请使用 https://security.microsoft.com/tenantAllowBlockList。

2. 选择“ 文件 ”选项卡。

3. 在“ 文件 ”选项卡上，执行以下步骤之一：

   • 选择列表中的条目，方法是选择第一列旁边的检查框，然后选择显示的“删除”操作。

   • 单击行中除“检查”框以外的任意位置，从列表中选择条目。 在打开的详细信息浮出控件中，选择浮出控件顶部的“ 删除 ”。

     提示

     若要查看有关其他条目的详细信息而不离开详细信息浮出控件，请使用浮出控件顶部的“上一项”和“下一项”。

4. 在打开的警告对话框中，选择“ 删除”。

返回“ 文件 ”选项卡，不再列出该条目。

提示

可以通过选择每个检查框来选择多个条目，或者通过选择值列标题旁边的检查框来选择所有条目。

使用 PowerShell 从租户允许/阻止列表中删除文件的条目

在 Exchange Online PowerShell 中，使用以下语法：

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

此示例从租户允许/阻止列表中删除指定的文件块。

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

有关详细语法和参数信息，请参阅 Remove-TenantAllowBlockListItems。

相关文章

• 使用“提交”页面向 Microsoft 提交可疑的垃圾邮件、网络钓鱼、URL、合法电子邮件被阻止和电子邮件附件
• 报告误报和误报
• 管理租户允许/阻止列表中的允许和块
• 允许或阻止租户允许/阻止列表中的电子邮件
• 允许或阻止租户允许/阻止列表中的 URL