Tillad eller bloker URL-adresser ved hjælp af listen Tillad/bloker lejer

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

I Microsoft 365-organisationer med postkasser i Exchange Online eller enkeltstående Exchange Online Protection organisationer (EOP) uden Exchange Online postkasser kan administratorer oprette og administrere poster for URL-adresser på listen over tilladte/blokerede lejere. Du kan få flere oplysninger om listen over tilladte/blokerede lejere under Administrer tillader og blokke på lejerlisten tillad/bloker.

Bemærk!

Hvis du vil tillade phishing-URL-adresser fra phishing-simuleringer fra tredjepart, skal du bruge den avancerede leveringskonfiguration til at angive URL-adresserne. Brug ikke listen over tilladte/blokerede lejere.

I denne artikel beskrives det, hvordan administratorer kan administrere poster for URL-adresser på Microsoft Defender-portalen og i Exchange Online PowerShell.

Hvad har du brug for at vide, før du begynder?

  • Du åbner portalen Microsoft Defender på https://security.microsoft.com. Hvis du vil gå direkte til siden Med lejer-/blokliste , skal du bruge https://security.microsoft.com/tenantAllowBlockList. Hvis du vil gå direkte til siden Indsendelser , skal du bruge https://security.microsoft.com/reportsubmission.

  • Hvis du vil oprette forbindelse til Exchange Online PowerShell, skal du se Opret forbindelse til Exchange Online PowerShell. Hvis du vil oprette forbindelse til enkeltstående EOP PowerShell, skal du se Opret forbindelse til Exchange Online Protection PowerShell.

  • Du kan få mere at vide om syntaksen for url-adresser i afsnittet Url-syntaks for listen over tilladte/blokerede lejere senere i denne artikel.

    • Indtastningsgrænser for URL-adresser:
    • Exchange Online Protection: Det maksimale antal tilladte poster er 500, og det maksimale antal blokposter er 500 (1000 URL-adresser i alt).
    • Defender for Office 365 Plan 1: Det maksimale antal tilladte poster er 1000, og det maksimale antal blokposter er 1000 (2000 URL-adresser i alt).
    • Defender for Office 365 Plan 2: Det maksimale antal tilladte poster er 5000, og det maksimale antal blokposter er 10000 (15000 URL-adresser i alt).

  • Du kan højst angive 250 tegn i en URL-adresse.

  • En post skal være aktiv inden for 5 minutter.

  • Du skal have tildelt tilladelser, før du kan udføre procedurerne i denne artikel. Du har følgende muligheder:

    • Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC) (påvirker kun Defender-portalen, ikke PowerShell):
      • Tilføj og fjern poster fra listen over tilladte/blokerede lejere: Medlemskab tildelt med følgende tilladelser:
        • Godkendelse og indstillinger/Sikkerhedsindstillinger/Registreringsjustering (administrer)
      • Skrivebeskyttet adgang til listen over tilladte/blokerede lejere:
        • Godkendelse og indstillinger/Sikkerhedsindstillinger/Skrivebeskyttet.
        • Godkendelse og indstillinger/Sikkerhedsindstillinger/Kernesikkerhedsindstillinger (læs).
    • Exchange Online tilladelser:
      • Tilføj og fjern poster fra listen over tilladte/blokerede lejere: Medlemskab i en af følgende rollegrupper:
        • Organisationsadministration eller Sikkerhedsadministrator (rolle som sikkerhedsadministrator).
        • Sikkerhedsoperator (Lejer allowBlockList Manager).
      • Skrivebeskyttet adgang til listen over tilladte/blokerede lejere: Medlemskab i en af følgende rollegrupper:
        • Global læser
        • Sikkerhedslæser
        • Konfiguration kun af visning
        • Kun visning af organisationsadministration
    • Microsoft Entra tilladelser: Medlemskab af rollerne Global administrator, Sikkerhedsadministrator, Global læser eller Sikkerhedslæser giver brugerne de nødvendige tilladelser og tilladelser til andre funktioner i Microsoft 365.

Opret tilladte poster for URL-adresser

Du kan ikke oprette tilladte poster for URL-adresser direkte på listen over tilladte/blokerede lejere. Unødvendige tilladte poster viser din organisation skadelige mails, der ville være blevet filtreret af systemet.

Du bruger i stedet fanen URL-adresser på siden Indsendelserhttps://security.microsoft.com/reportsubmission?viewid=url. Når du sender en blokeret URL-adresse, som Ikke burde være blevet blokeret (Falsk positiv), kan du vælge Tillad, at denne URL-adresse tilføjes og tillader angivelse af URL-adressen på fanen URL-adresser på siden Tillad/bloker lejer Lister. Du kan finde instruktioner under Rapportér gode URL-adresser til Microsoft.

Bemærk!

Vi opretter tillad poster for URL-adresser, der blev bestemt til at være skadelige af vores filtre under mailflowet eller på tidspunktet for klik.

Vi tillader efterfølgende meddelelser, der indeholder variationer af den oprindelige URL-adresse. Du kan f.eks. bruge siden Indsendelser til at rapportere den forkert blokerede URL-adresse www.contoso.com/abc. Hvis din organisation senere modtager en meddelelse, der indeholder URL-adressen (f.eks. men ikke begrænset til: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5eller www.contoso.com/abc/whatver), blokeres meddelelsen ikke på baggrund af URL-adressen. Med andre ord behøver du ikke at rapportere flere variationer af den samme URL-adresse som god til Microsoft.

Når enheden i den tilladte post registreres igen (under mailflowet eller ved klik), tilsidesættes alle filtre, der er knyttet til det pågældende objekt.

Tillad poster for URL-adresser findes som standard i 30 dage. I løbet af disse 30 dage lærer Microsoft fra de tilladte poster og fjerner dem eller udvider dem automatisk. Når Microsoft lærer fra de fjernede tilladte poster, leveres meddelelser, der indeholder disse URL-adresser, medmindre noget andet i meddelelsen registreres som skadeligt.

Hvis meddelelser, der indeholder den tilladte URL-adresse, overfører andre kontroller i filtreringsstakken, leveres meddelelserne under mailflowet. Hvis en meddelelse f.eks. består kontrol af mailgodkendelse og filfiltrering, leveres meddelelsen, hvis den også indeholder en tilladt URL-adresse.

Når der klikkes, tilsidesætter URL-adressen indstillingen alle filtre, der er knyttet til URL-objektet, hvilket giver brugerne adgang til URL-adressen.

En url-adresse, der tillader en post, forhindrer ikke, at URL-adressen ombrydes af Safe Links-beskyttelse i Defender for Office 365. Du kan få flere oplysninger under Omskriv ikke listen i SafeLinks.

Opret blokeringsposter for URL-adresser

Mails, der indeholder disse blokerede URL-adresser, blokeres som phishing med høj genkendelsessikkerhed. Meddelelser, der indeholder de blokerede URL-adresser, er sat i karantæne.

Hvis du vil oprette blokeringsposter for URL-adresser, skal du bruge en af følgende metoder:

Du har følgende muligheder for at oprette blokeringsposter for URL-adresser:

Brug Microsoft Defender-portalen til at oprette blokeringsposter for URL-adresser på listen over tilladte/blokerede lejere

  1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til afsnittet Politikker & regler>Trusselspolitikker>regler afsnittet >Lejer tillad/bloker Lister. Du kan også gå direkte til siden Med lejer-/blokliste ved at bruge https://security.microsoft.com/tenantAllowBlockList.

  2. På siden Liste over tilladte/blokerede lejere skal du vælge fanen URL-adresser .

  3. På fanen URL-adresser skal du vælge Bloker.

  4. Konfigurer følgende indstillinger i pop op-vinduet Bloker URL-adresser , der åbnes:

    • Tilføj URL-adresser med jokertegn: Angiv én URL-adresse pr. linje op til maksimalt 20. Du kan finde flere oplysninger om syntaksen for URL-adresser i syntaksen for URL-adresser til afsnittet Tillad/bloker lejer senere i denne artikel.

    • Fjern blokindtastning efter: Vælg mellem følgende værdier:

      • Udløber aldrig
      • 1 dag
      • 7 dage
      • 30 dage (standard)
      • Bestemt dato: Maksimumværdien er 90 dage fra i dag.

    • Valgfri note: Angiv en beskrivelse af, hvorfor du blokerer URL-adresserne.

    Når du er færdig i pop op-vinduet Bloker URL-adresser , skal du vælge Tilføj.

Tilbage på fanen URL-adresser vises posten.

Brug PowerShell til at oprette blokeringsposter for URL-adresser på listen over tilladte/blokerede lejere

I Exchange Online PowerShell skal du bruge følgende syntaks:

New-TenantAllowBlockListItems -ListType Url -Block -Entries "Value1","Value2",..."ValueN" <-ExpirationDate <Date> | -NoExpiration> [-Notes <String>]

I dette eksempel tilføjes en blokpost for URL-contoso.com og alle underdomæner (f.eks. contoso.com og xyz.abc.contoso.com). Da vi ikke brugte parametrene ExpirationDate eller NoExpiration, udløber posten efter 30 dage.

New-TenantAllowBlockListItems -ListType Url -Block -Entries *contoso.com

Du kan finde detaljerede syntaks- og parameteroplysninger under New-TenantAllowBlockListItems.

Brug Microsoft Defender-portalen til at få vist poster for URL-adresser på listen over tilladte/blokerede lejere

I portalen Microsoft Defender på https://security.microsoft.comskal du gå til Politikker & regler>Trusselspolitikker>Lejer tillad/bloker Lister i afsnittet Regler. Du kan også gå direkte til siden Tillad/bloker lejer Lister ved at bruge https://security.microsoft.com/tenantAllowBlockList.

Vælg fanen URL-adresser .

Under fanen URL-adresser kan du sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Følgende kolonner er tilgængelige:

  • Værdi: URL-adressen.
  • Handling: De tilgængelige værdier er Allow eller Block.
  • Ændret af
  • Senest opdateret
  • Fjern den: Udløbsdatoen.
  • Bemærkninger

Hvis du vil filtrere posterne, skal du vælge Filtrer. Følgende filtre er tilgængelige i pop op-vinduet Filter , der åbnes:

  • Handling: De tilgængelige værdier er Allow og Block.
  • Udløber aldrig: eller
  • Sidst opdateret: Vælg fra - og til-datoer .
  • Fjern den: Vælg fra - og Til-datoer .

Når du er færdig i pop op-vinduet Filtrer , skal du vælge Anvend. Hvis du vil rydde filtrene, skal du vælge Ryd filtre.

Brug feltet Søg og en tilsvarende værdi til at finde bestemte poster.

Hvis du vil gruppere posterne, skal du vælge Gruppér og derefter vælge Handling. Hvis du vil opdele elementerne, skal du vælge Ingen.

Brug PowerShell til at få vist poster for URL-adresser på listen over tilladte/blokerede lejere

I Exchange Online PowerShell skal du bruge følgende syntaks:

Get-TenantAllowBlockListItems -ListType Url [-Allow] [-Block] [-Entry <URLValue>] [<-ExpirationDate <Date> | -NoExpiration>]

I dette eksempel returneres alle tilladte og blokerede URL-adresser.

Get-TenantAllowBlockListItems -ListType Url

I dette eksempel filtreres resultaterne efter blokerede URL-adresser.

Get-TenantAllowBlockListItems -ListType Url -Block

Du kan finde detaljerede syntaks- og parameteroplysninger under Get-TenantAllowBlockListItems.

Brug Microsoft Defender-portalen til at redigere adresser for URL-adresser på listen over tilladte/blokerede lejere

I eksisterende URL-adresser kan du ændre udløbsdatoen og noten.

  1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til afsnittet Politikker & regler>Trusselspolitikker>regler afsnittet >Lejer tillad/bloker Lister. Du kan også gå direkte til siden Tillad/bloker lejer Lister ved at bruge https://security.microsoft.com/tenantAllowBlockList.

  2. Vælg fanen URL-adresser

  3. Under fanen URL-adresser skal du vælge posten på listen ved at markere afkrydsningsfeltet ud for den første kolonne og derefter vælge handlingen Rediger , der vises.

  4. I pop op-vinduet Rediger URL-adresse , der åbnes, er følgende indstillinger tilgængelige:

    • Blokposter:
      • Fjern blokindtastning efter: Vælg mellem følgende værdier:
        • 1 dag
        • 7 dage
        • 30 dage
        • Udløber aldrig
        • Bestemt dato: Maksimumværdien er 90 dage fra i dag.
      • Valgfri note
    • Tillad poster:
      • Fjern tillad indtastning efter: Vælg mellem følgende værdier:
        • 1 dag
        • 7 dage
        • 30 dage
        • Bestemt dato: Den maksimale værdi er 30 dage fra i dag.
      • Valgfri note

    Når du er færdig i pop op-vinduet Rediger URL-adresse , skal du vælge Gem.

Tip

I pop op-vinduet med detaljer for en post under fanen URL-adresser skal du bruge Vis indsendelse øverst i pop op-vinduet for at gå til detaljerne for den tilsvarende post på siden Indsendelser . Denne handling er tilgængelig, hvis en indsendelse var ansvarlig for at oprette posten på lejerlisten tillad/bloker.

Brug PowerShell til at redigere poster for URL-adresser på listen over tilladte/blokerede lejere

I Exchange Online PowerShell skal du bruge følgende syntaks:

Set-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

I dette eksempel ændres udløbsdatoen for blokeringsposten for den angivne URL-adresse.

Set-TenantAllowBlockListItems -ListType Url -Entries "~contoso.com" -ExpirationDate "9/1/2022"

Du kan finde detaljerede syntaks- og parameteroplysninger under Set-TenantAllowBlockListItems.

Brug Microsoft Defender-portalen til at fjerne adresser for URL-adresser fra lejerlisten tillad/bloker

  1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til afsnittet Politikker & regler>Trusselspolitikker>regler afsnittet >Lejer tillad/bloker Lister. Du kan også gå direkte til siden Med lejer-/blokliste ved at bruge https://security.microsoft.com/tenantAllowBlockList.

  2. Vælg fanen URL-adresser .

  3. Benyt en af følgende fremgangsmåder under fanen URL-adresser :

    • Vælg posten på listen ved at markere afkrydsningsfeltet ud for den første kolonne, og vælg derefter handlingen Slet , der vises.

    • Markér posten på listen ved at klikke et vilkårligt sted i rækken ud over afkrydsningsfeltet. I det pop op-vindue med detaljer, der åbnes, skal du vælge Slet øverst i pop op-vinduet.

      Tip

      Hvis du vil se detaljer om andre poster uden at forlade pop op-vinduet med detaljer, skal du bruge Forrige element og Næste element øverst i pop op-vinduet.

  4. Vælg Slet i den advarselsdialogboks, der åbnes.

Tilbage på fanen URL-adresser vises posten ikke længere.

Tip

Du kan markere flere poster ved at markere hvert afkrydsningsfelt eller markere alle poster ved at markere afkrydsningsfeltet ud for kolonneoverskriften Værdi .

Brug PowerShell til at fjerne poster for URL-adresser fra listen over tilladte/blokerede lejere

I Exchange Online PowerShell skal du bruge følgende syntaks:

Remove-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>>

I dette eksempel fjernes blokeringsposten for den angivne URL-adresse fra listen over tilladte/blokerede lejere.

Remove-TenantAllowBlockListItems -ListType Url -Entries "*cohovineyard.com

Du kan finde detaljerede syntaks- og parameteroplysninger under Remove-TenantAllowBlockListItems.

URL-syntaks for listen over tilladte/blokerede lejere

  • IPv4- og IPv6-adresser er tilladt, men TCP/UDP-porte er ikke tilladt.

  • Filtypenavne er ikke tilladt (f.eks. test.pdf).

  • Unicode understøttes ikke, men Det er Punycode.

  • Værtsnavne er tilladt, hvis alle følgende sætninger er sande:

    • Værtsnavnet indeholder et punktum.
    • Der er mindst ét tegn til venstre i punktumet.
    • Der er mindst to tegn til højre for punktum.

    Er f.eks t.co . tilladt, .com eller contoso. er ikke tilladt.

  • Understier er ikke underforstået for tillad.

    Omfatter contoso.com/af.eks. contoso.com ikke .

  • Jokertegn (*) er tilladt i følgende scenarier:

    • Et venstre jokertegn skal efterfølges af et punktum for at angive et underdomæne. (gælder kun for blokke)

      Er f.eks *.contoso.com . tilladt. *contoso.com Er ikke tilladt.

    • Et jokertegn til højre skal følge en skråstreg (/) for at angive en sti.

      Er f.eks contoso.com/* . tilladt, contoso.com* eller contoso.com/ab* er ikke tilladt.

    • *.com* er ugyldigt (ikke et domæne, der kan isoleres, og det højre jokertegn følger ikke en skråstreg).

    • Jokertegn er ikke tilladt i IP-adresser.

  • Tildetegnet (~) er tilgængeligt i følgende scenarier:

    • Et venstre tilde angiver et domæne og alle underdomæner.

      Omfatter ~contoso.comcontoso.com f.eks. og *.contoso.com.

  • Et brugernavn eller en adgangskode understøttes eller kræves ikke.

  • Anførselstegn (' eller ") er ugyldige tegn.

  • En URL-adresse skal indeholde alle omdirigeringer, hvor det er muligt.

Url-adresseindtastningsscenarier

Gyldige URL-adresser og deres resultater er beskrevet i følgende underafsnit.

Scenarie: Blokering af domæne på øverste niveau

Indtastning: *.<TLD>/*

  • Blokmatch:
    • a.TLD
    • TLD/abcd
    • b.abcd.TLD
    • TLD/contoso.com
    • TLD/q=contoso.com
    • www.abcd.TLD
    • www.abcd.TLD/q=a@contoso.com

Scenarie: Ingen jokertegn

Indtastning: contoso.com

  • Tillad match: contoso.com

  • Tillad ikke matchet:

    • abc-contoso.com
    • contoso.com/a
    • payroll.contoso.com
    • test.com/contoso.com
    • test.com/q=contoso.com
    • www.contoso.com
    • www.contoso.com/q=a@contoso.com

  • Blokmatch:

    • contoso.com
    • contoso.com/a
    • payroll.contoso.com
    • test.com/contoso.com
    • test.com/q=contoso.com
    • www.contoso.com
    • www.contoso.com/q=a@contoso.com

  • Blok, der ikke stemmer overens: abc-contoso.com

Scenarie: Venstre jokertegn (underdomæne)

Tip

Tillad poster i dette mønster understøttes kun fra avanceret leveringskonfiguration.

Indtastning: *.contoso.com

  • Tillad match og blokmatch:

    • www.contoso.com
    • xyz.abc.contoso.com

  • Tillad ikke matchet , og Blok stemmer ikke overens:

    • 123contoso.com
    • contoso.com
    • test.com/contoso.com
    • www.contoso.com/abc

Scenarie: Højre jokertegn øverst på stien

Indtastning: contoso.com/a/*

  • Tillad match og blokmatch:

    • contoso.com/a/b
    • contoso.com/a/b/c
    • contoso.com/a/?q=joe@t.com

  • Tillad ikke matchet , og Blok stemmer ikke overens:

    • contoso.com
    • contoso.com/a
    • www.contoso.com
    • www.contoso.com/q=a@contoso.com

Scenarie: Venstre tilde

Tip

Tillad poster i dette mønster understøttes kun fra avanceret leveringskonfiguration.

Indtastning: ~contoso.com

  • Tillad match og blokmatch:

    • contoso.com
    • www.contoso.com
    • xyz.abc.contoso.com

  • Tillad ikke matchet , og Blok stemmer ikke overens:

    • 123contoso.com
    • contoso.com/abc
    • www.contoso.com/abc

Scenarie: Højre jokertegnsuffiks

Indtastning: contoso.com/*

  • Tillad match og blokmatch:

    • contoso.com/?q=whatever@fabrikam.com
    • contoso.com/a
    • contoso.com/a/b/c
    • contoso.com/ab
    • contoso.com/b
    • contoso.com/b/a/c
    • contoso.com/ba

  • Tillad ikke matchet , og Blok stemmer ikke overens: contoso.com

Scenarie: Underdomæne for venstre jokertegn og højre jokertegnsuffiks

Tip

Tillad poster i dette mønster understøttes kun fra avanceret leveringskonfiguration.

Indtastning: *.contoso.com/*

  • Tillad match og blokmatch:

    • abc.contoso.com/ab
    • abc.xyz.contoso.com/a/b/c
    • www.contoso.com/a
    • www.contoso.com/b/a/c
    • xyz.contoso.com/ba

  • Tillad ikke matchet , og Blok stemmer ikke overens: contoso.com/b

Scenarie: Venstre og højre tilde

Tip

Tillad poster i dette mønster understøttes kun fra avanceret leveringskonfiguration.

Indtastning: ~contoso.com~

  • Tillad match og blokmatch:

    • contoso.com
    • contoso.com/a
    • www.contoso.com
    • www.contoso.com/b
    • xyz.abc.contoso.com
    • abc.xyz.contoso.com/a/b/c
    • contoso.com/b/a/c
    • test.com/contoso.com

  • Tillad ikke matchet , og Blok stemmer ikke overens:

    • 123contoso.com
    • contoso.org
    • test.com/q=contoso.com

Scenarie: IP-adresse

Indtastning: 1.2.3.4

  • Tillad match og blokmatch: 1.2.3.4

  • Tillad ikke matchet , og Blok stemmer ikke overens:

    • 1.2.3.4/a
    • 11.2.3.4/a

IP-adresse med højre jokertegn

Indtastning: 1.2.3.4/*

  • Tillad match og blokmatch:
    • 1.2.3.4/b
    • 1.2.3.4/baaaa

Eksempler på ugyldige poster

Følgende poster er ugyldige:

  • Manglende eller ugyldige domæneværdier:

    • Contoso
    • *.Contoso.*
    • *.Com
    • *.pdf

  • Jokertegn på tekst eller uden afstandstegn:

    • *contoso.com
    • contoso.com*
    • *1.2.3.4
    • 1.2.3.4*
    • contoso.com/a*
    • contoso.com/ab*

  • IP-adresser med porte:

    • contoso.com:443
    • abc.contoso.com:25

  • Ikke-beskrivende jokertegn:

    • *
    • *.*

  • Midterste jokertegn:

    • conto*so.com
    • conto~so.com

  • Dobbelte jokertegn

    • contoso.com/**
    • contoso.com/*/*