使用租用戶允許/封鎖清單允許或封鎖檔案

• 適用於:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 plan 1 and plan 2, ✅ Microsoft Defender XDR

提示

您知道您可以免費試用Office 365方案 2 的Microsoft 365 Defender功能嗎？ 使用 Microsoft Defender 入口網站試用中樞的 90 天適用於 Office 365 的 Defender試用版。 在這裡瞭解誰可以註冊和 試用條款。

在具有信箱Exchange Online或獨立Exchange Online Protection (EOP 的 Microsoft 365 組織) 沒有Exchange Online信箱的組織中，系統管理員可以在租使用者允許/封鎖清單中建立和管理檔案的專案。 如需租使用者允許/封鎖清單的詳細資訊，請 參閱管理租使用者允許/封鎖清單中的允許和區塊。

本文說明系統管理員如何在 Microsoft Defender 入口網站和 Exchange Online PowerShell 中管理檔案的專案。

開始之前有哪些須知？

• 您會在 開啟Microsoft Defender入口網站 https://security.microsoft.com 。 若要直接移至 [ 租使用者允許/封鎖清單 ] 頁面，請使用 https://security.microsoft.com/tenantAllowBlockList 。 若要直接移 至提交頁面 ，請使用 https://security.microsoft.com/reportsubmission 。

• 若要連線至 Exchange Online PowerShell，請參閱連線至 Exchange Online PowerShell。 若要連接至獨立版 EOP PowerShell，請參閱連線到 Exchange Online Protection PowerShell。

• 您可以使用檔案的 SHA256 雜湊值來指定檔案。 若要在 Windows 中尋找檔案的 SHA256 雜湊值，請在命令提示字元中執行下列命令：

  certutil.exe -hashfile "<Path>\<Filename>" SHA256
  

  例如，此值可能為 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a。 不支援 pHash) 值 (感知雜湊。

• 檔案的專案限制：

  • Exchange Online Protection：允許專案的最大數目為 500，而封鎖專案的最大數目為 500 (總) 1000 個檔案專案。
  • 適用於 Office 365 的 Defender方案 1：允許專案的最大數目為 1000，而封鎖專案的最大數目為 1000 (總計為 2000 個檔案專案) 。
  • 適用於 Office 365 的 Defender方案 2：允許專案的最大數目為 5000，而封鎖專案的最大數目為 10000 (總計為 15000 個檔案專案) 。

• 您可以在檔案專案中輸入最多 64 個字元。

• 專案應該會在 5 分鐘內作用中。

• 您必須獲得指派許可權，才能執行本文中的程式。 您有下列選項：

  • Exchange Online許可權：
    • 從租使用者允許/封鎖清單新增和移除專案：下列其中一個角色群組的成員資格：
      • 組織管理 或 安全性系統管理員 (安全性系統管理員角色) 。
      • 安全性操作員 (租使用者 AllowBlockList Manager) 。
    • 租使用者允許/封鎖清單的唯讀存取權：下列其中一個角色群組中的成員資格：
      • 全域讀取者
      • 安全性讀取者
      • 僅限檢視組態
      • View-Only Organization Management
  • Microsoft Entra權限：全域管理員、安全性系統管理員、全域讀取者或安全性讀取者角色的成員資格，可為使用者提供 Microsoft 365 中其他功能的必要許可權和許可權。

• [檔案]索引標籤僅適用于具有Microsoft Defender 全面偵測回應或適用於端點的 Microsoft Defender方案 2 的組織中的 [提交] 頁面。 如需從 [檔案] 索引標籤提交檔案的資訊和指示，請參閱在 適用於端點的 Microsoft Defender 中提交檔案。

建立檔案的允許專案

您無法直接在租使用者允許/封鎖清單中建立檔案的允許專案。 不必要的允許專案會向系統篩選的惡意電子郵件公開您的組織。

相反地，您可以在 的 [提交] 頁面上使用[Email附件] 索引卷 https://security.microsoft.com/reportsubmission?viewid=emailAttachment 標。 當您在 [租使用者允許/封鎖清單] 頁面的 [檔案] 索引標籤上，將封鎖的檔案提交為[不應該被封鎖 (誤判為) 時，您可以選取 [允許此檔案新增檔案的允許專案]。 如需指示， 請參閱提交良好的電子郵件附件給 Microsoft。

注意事項

根據在郵件流程期間判斷郵件為惡意的篩選準則，新增允許專案。 例如，如果寄件者電子郵件地址和郵件中的檔案判斷為不正確，則會為寄件者建立允許專案， (電子郵件地址或網域) 和檔案。

當允許專案中的實體在郵件流程期間或按一下) 時再次遇到 (時，會覆寫與該實體相關聯的所有篩選。

根據預設，允許檔案的專案存在 30 天。 在這 30 天內，Microsoft 會從允許專案中學習並 移除這些專案，或自動加以擴充。 在 Microsoft 從移除的允許專案學習之後，除非在郵件中偵測到其他專案為惡意，否則會傳遞包含這些實體的訊息。

在郵件流程期間，如果包含允許實體的訊息在篩選堆疊中通過其他檢查，則會傳遞訊息。 例如，如果訊息通過 電子郵件驗證檢查，如果訊息也包含允許的檔案，就會傳遞訊息。

在按一下期間，檔案允許專案會覆寫與檔案實體相關聯的所有篩選，讓使用者能夠存取檔案。

建立檔案的區塊專案

Email包含這些已封鎖檔案的訊息會被封鎖為惡意程式碼。 包含已封鎖檔案的訊息會遭到隔離。

若要建立檔案的區塊專案，請使用下列其中一種方法：

• 從 [提交] 頁面上的[Email附件]索引標籤，位於 https://security.microsoft.com/reportsubmission?viewid=emailAttachment 。 當您將檔案提交為[應該已封鎖] (False 負) 時，您可以選取 [封鎖此檔案] 將區塊專案新增至 [租使用者允許/封鎖清單] 頁面上的 [檔案] 索引標籤。 如需指示，請 參閱向 Microsoft 回報可疑的電子郵件附件。

• 從 [租使用者允許/封鎖清單] 頁面上的 [檔案] 索引標籤，或在 PowerShell 中，如本節所述。

使用 Microsoft Defender 入口網站在租使用者允許/封鎖清單中建立檔案的封鎖專案

1. 在 Microsoft Defender 入口網站中 https://security.microsoft.com ，移至 [原則 & 規則][威脅原則>規則> ] 區段 >[租使用者允許/封鎖清單]。 或者，若要直接移至 [ 租使用者允許/封鎖清單 ] 頁面，請使用 https://security.microsoft.com/tenantAllowBlockList 。

2. 在 [ 租使用者允許/封鎖清單] 頁面上，選取 [ 檔案] 索引卷 標。

3. 在 [檔案] 索引卷標上，選取 [ 封鎖]。

4. 在開啟的 [封鎖檔案 ] 飛出視窗中，設定下列設定：

   • 新增檔案雜湊：每行輸入一個 SHA256 雜湊值，最多 20 個。

   • 移除區塊專案之後：從下列值中選取：

     • 1 天
     • 7 天
     • 預設) (30 天
     • 永不過期
     • 特定日期：最大值為從今天起的 90 天。

   • 選擇性注意事項：輸入封鎖檔案原因的描述性文字。

   當您在 [ 封鎖檔案 ] 飛出視窗中完成時，請選取 [ 新增]。

回到 [ 檔案] 索引 標籤，會列出專案。

使用 PowerShell 建立租使用者允許/封鎖清單中檔案的封鎖專案

在Exchange Online PowerShell中，使用下列語法：

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

本範例會為從未過期的指定檔案新增區塊專案。

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

如需詳細的語法和參數資訊，請參閱 New-TenantAllowBlockListItems。

使用 Microsoft Defender 入口網站來檢視租使用者允許/封鎖清單中檔案的專案

在 Microsoft Defender 入口網站 https://security.microsoft.com 中，移至& [規則]區段中的 [原則規則 >][威脅> 原則租使用者允許/封鎖清單]。 或者，若要直接移至 [ 租使用者允許/封鎖清單 ] 頁面，請使用 https://security.microsoft.com/tenantAllowBlockList 。

選取 [ 檔案] 索引卷 標。

在 [ 檔案] 索引 標籤上，您可以按一下可用的資料行標頭來排序專案。 下列資料行可供使用：

• 值：檔案雜湊。
• 動作：可用的值為 Allow 或 Block。
• 修改者
• 上次更新
• 移除日期：到期日。
• 附註

若要篩選項目，請選取 [ 篩選]。 下列篩選準則可在開啟的 [ 篩選 ] 飛出視窗中使用：

• 動作：可用的值為 Allow 和 Block。
• 永不過期： 或
• 上次更新時間：選取[從] 和 [到日期]。
• 移除于：選取 [從] 和 [到日期]。

當您在 [ 篩選 ] 飛出視窗中完成時，請選取 [ 套用]。 若要清除篩選，請選 取[清除篩選]。

使用 [ 搜尋]方塊和對應的值來尋找特定專案。

若要將專案分組，請選取 [ 群組]，然後選取 [動作]。 若要取消專案群組，請選取 [ 無]。

使用 PowerShell 檢視租使用者允許/封鎖清單中檔案的專案

在Exchange Online PowerShell中，使用下列語法：

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

此範例會傳回所有允許和封鎖的檔案。

Get-TenantAllowBlockListItems -ListType FileHash

此範例會傳回指定檔案雜湊值的資訊。

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

此範例會依封鎖的檔案篩選結果。

Get-TenantAllowBlockListItems -ListType FileHash -Block

如需詳細的語法和參數資訊，請參閱 Get-TenantAllowBlockListItems。

使用 Microsoft Defender 入口網站來修改租使用者允許/封鎖清單中檔案的專案

在現有的檔案專案中，您可以變更到期日和附注。

1. 在 Microsoft Defender 入口網站中 https://security.microsoft.com ，移至 [原則 & 規則][威脅原則>規則> ] 區段 >[租使用者允許/封鎖清單]。 或者，若要直接移至 [ 租使用者允許/封鎖清單 ] 頁面，請使用 https://security.microsoft.com/tenantAllowBlockList 。

2. 選取 [檔案] 索引卷 標

3. 在 [檔案] 索引標籤上，選取第一個資料行旁邊的核取方塊，然後選取出現的 [編輯] 動作，從清單中選取專案。

4. 在開啟的 [編輯檔案 ] 飛出視窗中，可以使用下列設定：

   • 封鎖專案：
     • 移除區塊專案之後：從下列值中選取：
       • 1 天
       • 7 天
       • 30 天
       • 永不過期
       • 特定日期：最大值為從今天起的 90 天。
     • 選擇性附注
   • 允許專案：
     • 移除 [允許輸入]：從下列值中選取：
       • 1 天
       • 7 天
       • 30 天
       • 特定日期：最大值為從今天起的 30 天。
     • 選擇性附注

   當您在 [ 編輯檔案 ] 飛出視窗中完成時，請選取 [ 儲存]。

提示

在 [檔案] 索引標籤上專案的詳細資料飛出視窗中，使用 飛出視窗頂端的 [檢視提交]，移至 [提交] 頁面上對應專案的詳細資料。 如果提交負責在租使用者允許/封鎖清單中建立專案，則可使用此動作。

使用 PowerShell 修改租使用者允許/封鎖清單中檔案的現有允許或封鎖專案

在Exchange Online PowerShell中，使用下列語法：

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

此範例會變更指定之檔案區塊專案的到期日。

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

如需詳細的語法和參數資訊，請參閱 Set-TenantAllowBlockListItems。

使用 Microsoft Defender 入口網站從租使用者允許/封鎖清單中移除檔案的專案

1. 在 Microsoft Defender 入口網站中 https://security.microsoft.com ，移至 [原則 & 規則][威脅原則>規則> ] 區段 >[租使用者允許/封鎖清單]。 或者，若要直接移至 [ 租使用者允許/封鎖清單 ] 頁面，請使用 https://security.microsoft.com/tenantAllowBlockList 。

2. 選取 [ 檔案] 索引卷 標。

3. 在 [ 檔案] 索引 標籤上，執行下列其中一個步驟：

   • 選取第一個資料行旁邊的核取方塊，然後選取出現的 [刪除] 動作，以從清單中選取專案。

   • 按一下核取方塊以外的資料列中的任何位置，從清單中選取專案。 在開啟的詳細資料飛出視窗中，選 取飛出視窗頂端的 [刪除]。

     提示

     若要查看其他專案的詳細資料而不離開詳細資料飛出視窗，請使用 飛出視窗頂端的 [上一個專案] 和 [下一個專案]。

4. 在開啟的警告對話方塊中，選取 [ 刪除]。

回到 [ 檔案] 索引 標籤，專案已不再列出。

提示

您可以選取每個核取方塊來選取多個專案，或選取 [值 ] 資料行標頭旁邊的核取方塊來選取所有專案。

使用 PowerShell 從租使用者允許/封鎖清單中移除檔案的專案

在Exchange Online PowerShell中，使用下列語法：

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

此範例會從租使用者允許/封鎖清單中移除指定的檔案區塊。

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

如需詳細的語法和參數資訊，請參閱 Remove-TenantAllowBlockListItems。

相關文章

• 使用提交頁面將可疑的垃圾郵件、網路釣魚、URL、遭到封鎖的合法電子郵件，以及電子郵件附件提交給 Microsoft
• 報告誤判和誤判
• 管理租使用者允許/封鎖清單中的允許和區塊
• 允許或封鎖租使用者允許/封鎖清單中的電子郵件
• 允許或封鎖租使用者允許/封鎖清單中的 URL