提示
您是否知道您可以免費試用適用於 Office 365 的 Microsoft Defender 方案 2 中的功能? 在 Microsoft Defender 入口網站試用中樞使用 90 天適用於 Office 365 的 Defender 試用版。 瞭解誰可以在試用適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
在所有具有雲端信箱的組織中,系統管理員可以建立和管理租用戶允許/封鎖清單中檔案的專案。 如需租用戶允許/封鎖清單的詳細資訊,請參閱 管理租用戶允許/封鎖清單中的允許和封鎖。
本文說明系統管理員如何管理 Microsoft Defender 入口網站和 Exchange Online PowerShell 中檔案的專案。
開始之前有哪些須知?
您可以在 開啟 https://security.microsoft.comMicrosoft Defender 入口網站。 若要直接移至租用戶允許/封鎖清單頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。 若要直接移至 [提交] 頁面,請使用 https://security.microsoft.com/reportsubmission。
若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。
您可以使用檔案的 SHA256 雜湊值來指定檔案。 若要在 Windows 中尋找檔案的 SHA256 雜湊值,請在 PowerShell 中執行下列命令:
Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256例如,此值可能為
768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a。 不支援感知雜湊 (pHash) 值。檔案的輸入限制:
-
沒有適用於 Office 365 的 Defender 的 Microsoft 365 組織:最多 1000 個檔案專案:
- 允許條目:最多 500 個。
- 區塊條目:最多 500 個
-
Microsoft 365 個包含 適用於 Office 365 的 Defender 計劃 1 的組織 (或附加訂閱) :最多 2000 個檔案項目:
- 允許條目:最多 1000 個。
- 區塊條目:最多 1000 個。
-
Microsoft 365 個包含 適用於 Office 365 的 Defender 計劃 2 的組織 (或附加訂閱) :最多 15000 個檔案項目:
- 允許條目:最多 5000 個。
- 區塊條目:最多 10000 個。
-
沒有適用於 Office 365 的 Defender 的 Microsoft 365 組織:最多 1000 個檔案專案:
您最多可以在檔案項目中輸入 64 個字元。
條目應在 5 分鐘內生效。
您必須先獲指派權限,才能執行本文中的程序。 您有下列選項:
Microsoft Defender 全面偵測回應 RBAC) (統一角色型存取控制 (如果Email &共同作業>適用於 Office 365 的 Defender權限為
[作用中]。只會影響 Defender 入口網站,而不會影響 PowerShell) :- 在租用戶允許/封鎖清單中新增和移除專案:指派具有下列權限的成員資格:
- 授權和設定/安全性設定/偵測調整 (管理)
-
租用戶允許/封鎖清單的唯讀存取權:
- 授權和設定/安全性設定/唯讀。
- 授權和設定/安全性設定/核心安全性設定 (讀取) 。
- 在租用戶允許/封鎖清單中新增和移除專案:指派具有下列權限的成員資格:
-
- 從租用戶允許/封鎖清單新增和移除專案:下列其中一個角色群組中的成員資格:
- 組織管理 或 安全性管理員 (安全性管理員角色) 。
- 安全操作員 (租用戶 AllowBlockList 管理員角色) :只有在 Exchange 系統管理中心 [角色>管理員角色] 中https://admin.exchange.microsoft.com>直接指派時,才能使用此權限。
-
租用戶允許/封鎖清單的唯讀存取權:下列其中一個角色群組的成員資格:
- 全球讀者
- 安全性讀取者
- 僅限檢視組態
- View-Only Organization Management
- 從租用戶允許/封鎖清單新增和移除專案:下列其中一個角色群組中的成員資格:
Microsoft Entra 許可權:全域系統管理員*、安全性系統管理員、全域讀取者或安全性讀取者角色的成員資格可為使用者提供 Microsoft 365 中其他功能所需的許可權和許可權。
重要事項
* Microsoft 強烈提倡最小權限原則。 僅為帳戶指派執行其任務所需的最低權限,有助於降低安全風險並加強組織的整體保護。 全域管理員是高度許可權的角色,您應該將其限制為緊急情況或當您無法使用其他角色時。
「提交」頁面上的「檔案」標籤僅適用於具有 Microsoft Defender 全面偵測回應 或 適用於端點的 Microsoft Defender 計劃 2 的組織。 如需從 [檔案] 索引標籤提交檔案的資訊和指示,請參閱 在適用於端點的 Microsoft Defender 中提交檔案。
建立檔案的允許項目
您無法直接在租用戶允許/封鎖清單中為檔案建立允許項目。 不必要的允許項目會使您的組織暴露於系統會過濾的惡意電子郵件。
相反地,您可以使用 [提交] 頁面https://security.microsoft.com/reportsubmission?viewid=emailAttachment上的 Email 附件索引標籤。 當您提交封鎖的檔案時,因為我已確認它乾淨,您可以選取 [允許此檔案] ,在 [租使用者允許/封鎖清單] 頁面的 [檔案] 索引標籤上新增檔案的允許專案。 如需指示,請參閱 將良好的電子郵件附件提交給 Microsoft。
提示
允許來自提交的專案會在郵件流程期間根據判斷郵件為惡意的篩選條件新增。 例如,如果訊息中的寄件者電子郵件地址和 URL 被確定為惡意,則會為寄件者 (電子郵件地址或網域) 和 URL 建立允許條目。
在郵件流程或按兩下時間期間,如果包含允許專案中實體的郵件通過篩選堆疊中的其他檢查,則會傳遞郵件 (略過與允許實體相關聯的所有篩選條件) 。 例如,如果郵件通過 電子郵件驗證檢查、URL 篩選和檔案篩選,則如果郵件也來自允許的寄件者電子郵件地址,則會傳遞來自允許的寄件者電子郵件地址的郵件。
依預設,在篩選系統判斷實體為乾淨之後, 網域和電子郵件地址、 檔案和 URL 的允許項目會保留 45 天,然後移除允許項目。 或者,您可以將允許項目設定為在建立項目後最多 30 天內到期。 允許欺騙 寄件者的 條目永遠不會過期。
在按一下期間,檔案允許項目會覆寫與檔案實體相關聯的所有篩選器,以允許使用者存取檔案。
建立檔案的區塊項目
包含這些封鎖檔案的 Email 訊息會作為惡意軟體遭到封鎖。 包含封鎖檔案的郵件會被隔離。
若要建立檔案的區塊項目,請使用下列其中一種方法:
從 [提交] 頁面https://security.microsoft.com/reportsubmission?viewid=emailAttachment上的 [Email attachments] 索引標籤,位於 。 當您提交檔案時,因為我已確認它是威脅,您可以選取 [封鎖此檔案],將封鎖專案新增至 [租使用者允許/封鎖清單] 頁面上的 [檔案] 索引標籤。 如需指示,請參閱 向 Microsoft 報告可疑的電子郵件附件。
從 [租用戶允許/封鎖清單] 頁面上的 [檔案] 索引標籤,或在本節中所述的 PowerShell 中。
使用 Microsoft Defender 入口網站為租用戶允許/封鎖清單中的檔案建立封鎖專案
在Microsoft Defender入口網站 https://security.microsoft.com中,移至 [原則 & 規則>][威脅原則>規則] 區段 >[租使用者允許/封鎖清單]。 或者,若要直接移至 [租用戶允許/封鎖清單] 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
在 [租用戶允許/封鎖清單] 頁面上,選取 [檔案] 索引標籤。
在 [檔案] 索引標籤上,選取
[新增],然後選取 [封鎖]。在開啟的 [封鎖檔案] 飛出視窗中,設定下列設定:
新增檔案雜湊值:每行輸入一個 SHA256 雜湊值,最多 20 個。
移除封鎖項目之後:從下列值中選取:
- 1 天
- 7 天
- 預設) (30 天
- 永不過期
- 具體日期:最大值為從今天起的 90 天。
選用附註:輸入描述性文字,說明您封鎖檔案的原因。
當您在 [封鎖檔案] 飛出視窗中完成時,請選取 [新增]。
返回 [檔案] 索引標籤,會列出專案。
使用 PowerShell 為租用戶允許/封鎖清單中的檔案建立封鎖專案
在 Exchange Online PowerShell 中,使用下列語法:
New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]
此範例會為永不過期的指定檔案新增區塊項目。
New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration
如需詳細的語法和參數資訊,請參閱 New-TenantAllowBlockListItems。
使用 Microsoft Defender 入口網站來檢視租用戶允許/封鎖清單中檔案的專案
在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 [規則] 區段中的 [原則 & 規則>][威脅原則]> [租用戶允許/封鎖清單]。 或者,若要直接移至 [租用戶允許/封鎖清單] 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
選取 [檔案] 索引標籤。
在 「檔案」 標籤上,您可以按一下可用的欄標題來排序項目。 下列欄可供使用:
- 值:檔案雜湊。
- 動作:可用的值為 Allow 或 Block。
- 覆寫判決:封鎖和允許專案的可用值為 [Up to malware ]。
- 修改者
- 上次更新
- 上次使用日期:上次在篩選系統中使用條目以覆寫判決的日期。
- 移除日期:到期日。
- 附註
若要篩選項目,請選取 
[篩選]。 下列篩選器可在開啟的 [篩選器] 飛出視窗中使用:
- 動作:可用的值為 [允許] 和 [封鎖]。
-
永不過期: 或
- 上次更新時間:選取 [開始 ] 和 [結束 日期]。
- 上次使用日期:選取 [開始 ] 和 [結束 日期]。
- 移除日期:選取 [開始 ] 和 [結束日期 ]。
- 修改者:提供不完整或完整的電子郵件地址以進行搜尋。
當您在 [篩選器] 飛出視窗中完成時,請選取 [ 套用]。 若要清除篩選器,請選取 
清除篩選器。
使用搜尋方塊和對應的值來
尋找特定項目。
若要將專案分組,請選取 [
群組],然後選取 [動作]。 若要取消專案群組,請選取 [ 無]。
使用 PowerShell 檢視租用戶允許/封鎖清單中檔案的專案
在 Exchange Online PowerShell 中,使用下列語法:
Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]
此範例會傳回所有允許和封鎖的檔案。
Get-TenantAllowBlockListItems -ListType FileHash
此範例會傳回指定檔案雜湊值的資訊。
Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"
此範例會依封鎖的檔案篩選結果。
Get-TenantAllowBlockListItems -ListType FileHash -Block
如需詳細的語法和參數資訊,請參閱 Get-TenantAllowBlockListItems。
使用 Microsoft Defender 入口網站來修改租用戶允許/封鎖清單中檔案的專案
在現有的檔案項目中,您可以變更到期日和附註。
在Microsoft Defender入口網站 https://security.microsoft.com中,移至 [原則 & 規則>][威脅原則>規則] 區段 >[租使用者允許/封鎖清單]。 或者,若要直接移至 [租用戶允許/封鎖清單] 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
選取 [檔案] 索引標籤
在 [ 檔案 ] 索引標籤上,選取第一欄旁的核取方塊,從清單中選取專案,然後選取
出現的 [ 編輯 ] 動作。在開啟的 [編輯檔案] 飛出視窗中,可以使用下列設定:
-
區塊條目:
- 移除封鎖項目之後:從下列值中選取:
- 1 天
- 7 天
- 30 天
- 永不過期
- 具體日期:最大值為從今天起的 90 天。
- 選用附註
- 移除封鎖項目之後:從下列值中選取:
-
允許條目:
- 移除允許項目之後:從下列值中選取:
- 1 天
- 7 天
- 30 天
- 上次使用日期後 45 天
- 具體日期:最大值為從今天起的 30 天。
- 選用附註
- 移除允許項目之後:從下列值中選取:
當您在 [編輯檔案] 飛出視窗中完成時,請選取 [ 儲存]。
-
區塊條目:
提示
在 [ 檔案 ] 索引標籤上專案的詳細數據飛出視窗中,使用 
飛出視窗頂端的 [ 檢視提交 ] 移至 [ 提交 ] 頁面上對應專案的詳細數據。 如果提交負責在租用戶允許/封鎖清單中建立項目,則可以使用此動作。
使用 PowerShell 修改租用戶允許/封鎖清單中檔案的現有允許或封鎖專案
在 Exchange Online PowerShell 中,使用下列語法:
Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
此範例會變更指定檔案區塊項目的到期日。
Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"
如需詳細的語法和參數資訊,請參閱 Set-TenantAllowBlockListItems。
使用 Microsoft Defender 入口網站從租用戶允許/封鎖清單中移除檔案專案
在Microsoft Defender入口網站 https://security.microsoft.com中,移至 [原則 & 規則>][威脅原則>規則] 區段 >[租使用者允許/封鎖清單]。 或者,若要直接移至 [租用戶允許/封鎖清單] 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
選取 [檔案] 索引標籤。
在 [檔案 ] 索引標籤上,執行下列其中一個步驟:
選取第一欄旁的核取方塊,從清單中選取專案,然後選取出現的刪除動作
。按一下勾選框以外的列中任意位置,從清單中選取項目。 在開啟的詳細數據飛出視窗中,選取
飛出視窗頂端的 [刪除]。提示
若要查看其他專案的詳細數據,而不離開詳細數據飛出視窗,請使用
飛出視窗頂端的 [上一個專案] 和 [下一個專案]。
在開啟的警告對話方塊中,選取 [刪除]。
返回「 檔案」 標籤,該條目不再列出。
提示
您可以選取每個核取方塊來選取多個項目,或選取 [值] 欄標題旁邊的核取方塊來選取所有項目。
使用 PowerShell 從租用戶允許/封鎖清單中移除檔案專案
在 Exchange Online PowerShell 中,使用下列語法:
Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>
此範例會從租用戶允許/封鎖清單中移除指定的檔案區塊。
Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"
如需詳細的語法和參數資訊,請參閱 Remove-TenantAllowBlockListItems。