使用租用戶允許/封鎖清單允許或封鎖檔案
提示
您是否知道您可以免費試用 Microsoft Defender 全面偵測回應 Office 365 方案 2 中的功能? 在 Microsoft Defender 入口網站試用中樞使用 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用版條款。
在Microsoft 365 個具有 Exchange Online 或獨立 Exchange Online Protection (EOP 信箱的組織) 沒有 Exchange Online 信箱的組織中,系統管理員可以在租用戶允許/封鎖清單中建立和管理檔案的專案。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊。
本文說明系統管理員如何在 Microsoft Defender 入口網站和 Exchange Online PowerShell 中管理檔案的專案。
開始之前有哪些須知?
您會在 開啟 Microsoft Defender 入口網站https://security.microsoft.com。 若要直接移至 [租使用者允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。 若要直接移 至提交頁面 ,請使用 https://security.microsoft.com/reportsubmission。
若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。 若要連接至獨立版 EOP PowerShell,請參閱連線到 Exchange Online Protection PowerShell。
您可以使用檔案的 SHA256 哈希值來指定檔案。 若要在 Windows 中尋找檔案的 SHA256 哈希值,請在命令提示字元中執行下列命令:
certutil.exe -hashfile "<Path>\<Filename>" SHA256
例如,此值可能為
768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a
。 不支援 pHash) 值 (感知哈希。檔案的專案限制:
- Exchange Online Protection:允許專案的最大數目為 500,而區塊專案的最大數目為 500 (1000 個檔案專案的總) 。
- 適用於 Office 365 的 Defender 方案 1:允許專案的最大數目為 1000,而封鎖專案的最大數目為 1000 (總) 2000 個檔案專案。
- 適用於 Office 365 的 Defender 方案 2:允許專案的最大數目為 5000,而封鎖專案的最大數目為 10000 (總) 為 15000 個檔案專案。
您可以在檔案項目中輸入最多 64 個字元。
項目應該會在 5 分鐘內作用中。
您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:
Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) ( 如果 Email & 共同作業>Exchange Online 許可權許可權為 [作用中]。只會影響 Defender 入口網站,而不會影響 PowerShell) :授權和設定/安全性設定/偵測調整 (管理) 或 (讀取) 的授權和設定/安全性設定/核心安全性設定。
-
-
從租使用者允許/封鎖清單新增和移除專案:下列其中一個角色群組的成員資格:
- 組織管理 或 安全性系統管理員 (安全性系統管理員角色) 。
- 安全性操作員 (租使用者 AllowBlockList Manager) 。
-
租使用者允許/封鎖清單的只讀存取權:下列其中一個角色群組中的成員資格:
- 全域讀取者
- 安全性讀取者
- 僅限檢視組態
- View-Only Organization Management
-
從租使用者允許/封鎖清單新增和移除專案:下列其中一個角色群組的成員資格:
Microsoft Entra 權限:全域管理員、安全性系統管理員*、全域讀取者或安全性讀取者角色的成員資格,會為使用者提供Microsoft 365 中其他功能的必要許可權和許可權。
重要事項
* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
只有 Microsoft Defender 全面偵測回應 或 適用於端點的 Microsoft Defender 方案 2 的組織才能在 [提交] 頁面上使用 [檔案] 索引標籤。 如需從 [檔案] 索引標籤提交檔案的資訊和指示,請參閱在 適用於端點的 Microsoft Defender 中提交檔案。
建立檔案的允許專案
您無法直接在租使用者允許/封鎖清單中建立檔案的允許專案。 不必要的允許專案會向系統篩選的惡意電子郵件公開您的組織。
相反地,您會在 的 [提交] 頁面上使用 [Email 附件] 索引標籤https://security.microsoft.com/reportsubmission?viewid=emailAttachment。 當我確認檔案已清除時提交封鎖的檔案時,您可以在 [租使用者允許/封鎖] 清單 頁面的 [檔案] 索引標籤上,選取 [允許此檔案新增檔案的允許專案]。 如需指示, 請參閱提交良好的電子郵件附件至Microsoft。
提示
在郵件流程期間,會根據判斷郵件為惡意的篩選條件,新增來自提交專案的允許專案。 例如,如果寄件者電子郵件地址和郵件中的URL判斷為惡意,則會針對發件者建立允許專案, (電子郵件位址或網域) 和URL。
在郵件流程或點選期間,如果包含允許專案中實體的訊息在篩選堆疊中通過其他檢查,則會傳遞訊息 (略過與允許實體相關聯的所有篩選) 。 例如,如果郵件通過 電子郵件驗證檢查、URL 篩選和檔案篩選,則如果郵件也是來自允許的寄件者,則會傳遞來自允許寄件者電子郵件地址的郵件。
根據預設,在篩選系統判斷實體是乾淨的,然後移除允許項目之後,網 域和電子郵件地址、 檔案和 URL 的允許專案會保留45天。 或者,您可以將允許項目設定為在建立專案后最多 30 天到期。 允許 詐騙寄件人的 專案永不過期。
在單擊期間,檔案允許專案會覆寫與檔案實體相關聯的所有篩選,讓用戶能夠存取檔案。
建立檔案的區塊專案
Email 包含這些已封鎖檔案的訊息會被封鎖為惡意代碼。 包含已封鎖檔案的訊息會遭到隔離。
若要建立檔案的區塊專案,請使用下列其中一種方法:
從 [提交] 頁面上的[Email 附件] 索引卷標,位於 https://security.microsoft.com/reportsubmission?viewid=emailAttachment。 當我確認檔案是威脅時提交檔案時,您可以選取 [封鎖此檔案] 將封鎖專案新增至 [租用戶允許/封鎖] 頁面上的 [檔案] 索引卷標 清單。 如需指示,請 參閱將可疑的電子郵件附件回報給Microsoft。
從 [租使用者允許/封鎖] 清單 頁面上的 [檔案] 索引標籤,或在 PowerShell 中,如本節所述。
使用 Microsoft Defender 入口網站在租用戶允許/封鎖清單中建立檔案的封鎖專案
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
在 [租使用者允許/封鎖 清單] 頁面上,選取 [檔案] 索引標籤。
在 [ 檔案] 索引標籤 上,選取 [ 封鎖]。
在開啟的 [封鎖檔案 ] 飛出視窗中,設定下列設定:
新增檔案哈希:每行輸入一個SHA256哈希值,最多20個。
拿掉區塊項目之後:從下列值中選取:
- 1 天
- 7 天
- 默認) (30 天
- 永不過期
- 特定日期:最大值為從今天起的90天。
選擇性注意事項:輸入封鎖檔案原因的描述性文字。
當您在 [ 封鎖檔案 ] 飛出視窗中完成時,請選取 [ 新增]。
回到 [ 檔案] 索引 標籤,會列出專案。
使用 PowerShell 建立租使用者允許/封鎖清單中檔案的封鎖專案
在 Exchange Online PowerShell 中,使用下列語法:
New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]
本範例會為從未過期的指定檔案新增區塊專案。
New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration
如需詳細的語法和參數資訊,請參閱 New-TenantAllowBlockListItems。
使用 Microsoft Defender 入口網站來檢視租用戶允許/封鎖清單中檔案的專案
在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 [規則] 區段中的 [原則 & 規則>>] [租用戶允許/封鎖 清單] 。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
選取 [ 檔案] 索引標籤 。
在 [ 檔案] 索引 標籤上,您可以按兩下可用的數據行標頭來排序專案。 下列資料列可供使用:
- 值:檔案哈希。
- 動作:可用的值為 Allow 或 Block。
- 修改者
- 上次更新
- 上次使用日期:上次在篩選系統中使用專案來覆寫決策的日期。
- 拿掉日期:到期日。
- 附註
若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟的 [ 篩選 ] 飛出視窗中使用:
- 動作:可用的值為 Allow 和 Block。
- 永不過期: 或
- 上次更新時間:選取 [從] 和 [到日期]。
- 上次使用的日期:選取 [從] 和 [到日期]。
- 拿掉於:選取 [從] 和 [到日期]。
當您在 [ 篩選 ] 飛出視窗中完成時,請選取 [ 套用]。 若要清除篩選,請選取 [清除篩選]。
使用 [ 搜尋] 方塊和對應的值來尋找特定專案。
若要將專案分組,請選取 [ 群組 ],然後選取 [ 動作]。 若要取消專案群組,請選取 [ 無]。
使用 PowerShell 檢視租使用者允許/封鎖清單中檔案的專案
在 Exchange Online PowerShell 中,使用下列語法:
Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]
此範例會傳回所有允許和封鎖的檔案。
Get-TenantAllowBlockListItems -ListType FileHash
此範例會傳回指定檔案哈希值的資訊。
Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"
此範例會依封鎖的檔案篩選結果。
Get-TenantAllowBlockListItems -ListType FileHash -Block
如需詳細的語法和參數資訊,請參閱 Get-TenantAllowBlockListItems。
使用 Microsoft Defender 入口網站來修改租用戶允許/封鎖清單中檔案的專案
在現有的檔案專案中,您可以變更到期日和附注。
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
選取 [檔案] 索引標籤
在 [ 檔案] 索引 標籤上,選取第一個資料行旁邊的複選框,然後選取出現的 [編輯 ] 動作,從清單中選取專案。
在開啟的 [編輯檔案 ] 飛出視窗中,可以使用下列設定:
-
封鎖專案:
-
拿掉區塊項目之後:從下列值中選取:
- 1 天
- 7 天
- 30 天
- 永不過期
- 特定日期:最大值為從今天起的90天。
- 選擇性附注
-
拿掉區塊項目之後:從下列值中選取:
-
允許專案:
-
移除[允許輸入]:從下列值中選取:
- 1 天
- 7 天
- 30 天
- 上次使用日期后的 45 天
- 特定日期:最大值為從今天起的 30 天。
- 選擇性附注
-
移除[允許輸入]:從下列值中選取:
當您在 [ 編輯檔案 ] 飛出視窗中完成時,請選取 [ 儲存]。
-
封鎖專案:
提示
在 [檔案] 索引標籤上專案的詳細數據飛出視窗中,使用飛出視窗頂端的 [檢視提交],移至 [提交] 頁面上對應專案的詳細數據。 如果提交負責在租使用者允許/封鎖清單中建立專案,則可使用此動作。
使用 PowerShell 修改租使用者允許/封鎖清單中檔案的現有允許或封鎖專案
在 Exchange Online PowerShell 中,使用下列語法:
Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
此範例會變更指定之檔案區塊專案的到期日。
Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"
如需詳細的語法和參數資訊,請參閱 Set-TenantAllowBlockListItems。
使用 Microsoft Defender 入口網站從租使用者允許/封鎖清單中移除檔案的專案
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
選取 [ 檔案] 索引標籤 。
在 [ 檔案] 索引 標籤上,執行下列其中一個步驟:
選取第一個數據行旁邊的複選框,然後選取出現的 [刪除 ] 動作,以從清單中選取專案。
按兩下複選框以外的數據列中的任何位置,從清單中選取專案。 在開啟的詳細數據飛出視窗中,選取飛出視窗頂端的 [刪除]。
提示
若要查看其他項目的詳細數據而不離開詳細數據飛出視窗,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。
在開啟的警告對話框中,選取 [ 刪除]。
回到 [ 檔案] 索引 標籤,專案已不再列出。
提示
您可以選取每個複選框來選取多個專案,或選取 [值 ] 資料行標頭旁邊的複選框來選取所有專案。
使用 PowerShell 從租使用者允許/封鎖清單中移除檔案的專案
在 Exchange Online PowerShell 中,使用下列語法:
Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>
此範例會從租使用者允許/封鎖清單中移除指定的檔案區塊。
Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"
如需詳細的語法和參數資訊,請參閱 Remove-TenantAllowBlockListItems。