テナントの許可/ブロック一覧で許可とブロックを管理する

• 適用対象:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。

重要

サード パーティの攻撃シミュレーション トレーニングの一部であるフィッシング URL を許可するには、 高度な配信構成 を使用して URL を指定します。 [テナントの許可/ブロック] リストは使用しないでください。

Exchange Online メールボックスのないExchange Onlineまたはスタンドアロン Exchange Online Protection (EOP) 組織のメールボックスを持つ Microsoft 365 組織では、EOP またはMicrosoft Defender for Office 365フィルター処理の判定。 たとえば、適切なメッセージが無効 (誤検知) としてマークされている場合や、不適切なメッセージが許可される場合があります (偽陰性)。

Microsoft Defender ポータルのテナント許可/ブロック一覧を使用すると、Defender for Office 365または EOP フィルタリングの判定を手動でオーバーライドできます。 リストは、外部送信者からの受信メッセージのメール フロー中に使用されます。

テナント許可/ブロックリストは、organization内の内部メッセージには適用されません。 ただし、ドメインとメール アドレスのエントリをブロックすると、organizationのユーザーがブロックされたドメインとアドレスに電子メールを送信できなくなります。

[テナントの許可/ブロック] ボックスの一覧は、Microsoft Defender ポータルhttps://security.microsoft.com>の [ポリシー] & [ルール>] [脅威ポリシー>] の [ルール] セクションの [テナントの許可/ブロック] Listsにあります。 [テナントの許可/ブロック] Lists ページに直接移動するには、 を使用https://security.microsoft.com/tenantAllowBlockListします。

使用方法と構成手順については、次の記事を参照してください。

• ドメインとメール アドレスとなりすまし送信者: テナント許可/ブロック リストを使用してメールを許可またはブロックする
• ファイル: テナント許可/ブロック リストを使用してファイルを許可またはブロックする
• URL: テナント許可/ブロック リストを使用して URL を許可またはブロックします。

これらの記事には、Microsoft Defender ポータルと PowerShell の手順が含まれています。

[テナントの許可/ブロック] リストのエントリをブロックする

注:

[テナントの許可/ブロック一覧] で、ブロック エントリが許可エントリよりも優先されます。

[ 申請] ページ ( 管理者申請とも呼ばれます) https://security.microsoft.com/reportsubmission を使用して、次の種類のアイテムのブロック エントリを作成し、Microsoft に偽陰性として報告します。

• ドメインとメール アドレス:

  • これらの送信者からのEmailメッセージは信頼度の高いフィッシングとしてマークされ、検疫に移動されます。
  • organizationのユーザーは、これらのブロックされたドメインとアドレスに電子メールを送信できません。 次の配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) を受け取ります。 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. 1 つの受信者のメール アドレスまたはドメインがブロック エントリで定義されている場合でも、メッセージの内部および外部のすべての受信者に対してメッセージ全体がブロックされます。

  ヒント

  特定の送信者からのスパムのみをブロックするには、 スパム対策ポリシーのブロック リストにメール アドレスまたはドメインを追加します。 送信者からのすべてのメールをブロックするには、[テナントの許可/ブロック] リストで ドメインとメール アドレス を使用します。

• ファイル: これらのブロックされたファイルを含むメッセージEmailは、マルウェアとしてブロックされます。 ブロックされたファイルを含むメッセージは検疫されます。

• URL: これらのブロックされた URL を含むEmailメッセージは、信頼度の高いフィッシングとしてブロックされます。 ブロックされた URL を含むメッセージは検疫されます。

[テナントの許可/ブロック一覧] で、次の種類の項目のブロック エントリを直接作成することもできます。

• ドメインとメール アドレス、 ファイル、 URL。

• スプーフィングされた送信者: スプーフィング インテリジェンスからの既存の許可の判定を手動でオーバーライドした場合、ブロックされたスプーフィングされた送信者は、テナント許可/ブロック リストの [ なりすまし送信者 ] タブにのみ表示される手動のブロック エントリになります。

既定では、 ドメインとメール アドレス、 ファイル 、 URL の ブロック エントリは 30 日後に期限切れになりますが、有効期限が 90 日または期限切れにならないように設定できます。 スプーフィングされた送信者のエントリをブロックすると、期限切れになることはありません。

[テナントの許可/ブロック] リストのエントリを許可する

ほとんどの場合、テナント許可/ブロック リストに許可エントリを直接作成することはできません。

• ドメインとメール アドレス、 ファイル、 URL: テナントの許可/ブロックリストに許可エントリを直接作成することはできません。 代わりに、 の [申請] ページ https://security.microsoft.com/reportsubmission を使用して、 電子メール、 電子メールの添付ファイル、または URL を Microsoft に報告します 。[ブロックされていません (誤検知)] です。

• なりすまし送信者:

  • スプーフィング インテリジェンスによって既にメッセージがスプーフィングとしてブロックされている場合は、 の [申請] ページ https://security.microsoft.com/reportsubmission を使用して、 電子メール を Microsoft に報告します 。[ブロックされていません (誤検知)] です。
  • スプーフィング インテリジェンスがメッセージをスプーフィングとして識別およびブロックする前に、[テナントの許可/ブロック リスト] の [ なりすまし送信者 ] タブで 、なりすまし 送信者の許可エントリを事前に作成できます。

次の一覧は、[ 提出] ページで Microsoft に誤検知として報告した場合のテナント許可/ブロックリストの動作を示しています。

• Email添付ファイルと URL: 許可エントリが作成され、[テナントの許可/ブロックリスト] の [ファイル] タブまたは [URL] タブにエントリがそれぞれ表示されます。

  誤検知として報告された URL の場合、元の URL のバリエーションを含む後続のメッセージを許可します。 たとえば、[ 申請] ページを 使用して、不適切にブロックされた URL を報告します www.contoso.com/abc。 organizationが後で URL を含むメッセージを受信した場合 (たとえば、、www.contoso.com/abc?id=1、www.contoso.com/abc/def/gty/uyt?id=5、または www.contoso.com/abc/whateverにwww.contoso.com/abc限定されません)、URL に基づいてメッセージはブロックされません。 つまり、同じ URL の複数のバリエーションを Microsoft に報告する必要はありません。

• Email: メッセージが EOP またはDefender for Office 365フィルター処理スタックによってブロックされた場合、許可エントリがテナント許可/ブロック リストに作成される可能性があります。

  • メッセージがスプーフィング インテリジェンスによってブロックされた場合、送信者の許可エントリが作成され、[テナントの許可/ブロックリスト] の [なりすまし送信者] タブにエントリが表示されます。
  • Defender for Office 365でユーザー (またはグラフ) の偽装保護によってメッセージがブロックされた場合、許可エントリはテナントの許可/ブロックリストに作成されません。 代わりに、ドメインまたは送信者は、メッセージを検出したフィッシング対策ポリシーの [信頼された送信者とドメイン] セクションに追加されます。
  • ファイル ベースのフィルターによってメッセージがブロックされた場合は、ファイルの許可エントリが作成され、[テナントの許可/ブロックリスト] の [ ファイル ] タブにエントリが表示されます。
  • URL ベースのフィルターによってメッセージがブロックされた場合、URL の許可エントリが作成され、[テナントの許可/ブロックリスト] の [ URL ] タブにエントリが表示されます。
  • メッセージが他の理由でブロックされた場合は、送信者の電子メール アドレスまたはドメインの許可エントリが作成され、[テナントの許可/ブロックリスト] の [ ドメイン & アドレス ] タブにエントリが表示されます。
  • フィルター処理のためにメッセージがブロックされなかった場合、許可エントリはどこにも作成されません。

既定では、ドメインとメール アドレス、ファイル、URL のエントリが 30 日間存在することを許可します。 この 30 日間、Microsoft は許可エントリから学習し 、それらを削除するか、自動的に拡張します。 削除された許可エントリから Microsoft が学習すると、メッセージ内の他の何かが悪意のあるものとして検出されない限り、それらのエンティティを含むメッセージが配信されます。 既定では、スプーフィングされた送信者のエントリの有効期限が切れないことを許可します。

重要

Microsoft では、許可エントリを直接作成することはできません。 不要な許可エントリは、システムによってフィルター処理された可能性がある悪意のある電子メールにorganizationを公開します。

Microsoft は、 の [申請] ページ https://security.microsoft.com/reportsubmissionから許可エントリの作成を管理します。 メッセージが悪意があると判断されたフィルターに基づいて、メール フロー中に許可エントリが追加されます。 たとえば、送信者のメール アドレスとメッセージ内の URL が正しくないと判断された場合、送信者 (メール アドレスまたはドメイン) と URL に対して許可エントリが作成されます。

エンティティが (メール フロー中またはクリック時に) 再び検出されると、そのエンティティに関連付けられているすべてのフィルターはスキップされます。

メール フロー中に、許可されたエンティティを含むメッセージがフィルター 処理スタック内の他のチェックに合格すると、メッセージが配信されます。 たとえば、メッセージが 電子メール認証チェック、URL フィルタリング、ファイル フィルタリングに合格した場合、許可された送信者のメール アドレスからのメッセージが配信されます。

許可またはブロック エントリを追加した後に予想される内容

[申請] ページに許可エントリを追加した後、または [テナントの許可/ブロックリスト] のブロック エントリを追加すると、エントリはすぐに (5 分以内に) 動作を開始する必要があります。

Microsoft が許可エントリから学習した場合、エントリは削除されます。 組み込みの アラート ポリシー からの不要な許可エントリの削除に関するアラートが表示されます。「 テナント許可/ブロック リストのエントリを削除しました」という名前です。