Tillåt eller blockera URL:er med hjälp av listan över tillåtna/blockerade klientorganisationer

• Gäller för:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

I Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection(EOP)-organisationer utan Exchange Online postlådor kan administratörer skapa och hantera poster för URL:er i listan Tillåt/blockera klientorganisation. Mer information om listan över tillåtna/blockerade klientorganisationer finns i Hantera tillåtna och block i listan Tillåt/blockera klientorganisation.

Obs!

Om du vill tillåta nätfiske-URL:er från nätfiskesimuleringar från tredje part använder du den avancerade leveranskonfigurationen för att ange URL:erna. Använd inte listan Tillåt/blockera klientorganisation.

Den här artikeln beskriver hur administratörer kan hantera poster för URL:er i Microsoft Defender-portalen och i Exchange Online PowerShell.

Vad behöver jag veta innan jag börjar?

• Du öppnar Microsoft Defender-portalen på https://security.microsoft.com. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation använder du https://security.microsoft.com/tenantAllowBlockList. Om du vill gå direkt till sidan Inskickade filer använder du https://security.microsoft.com/reportsubmission.

• Information om hur du använder Windows PowerShell för att ansluta till Exchange Online finns i artikeln om att ansluta till Exchange Online PowerShell. Information om hur du ansluter till fristående EOP PowerShell finns i Anslut till Exchange Online Protection PowerShell.

• Syntax för URL-inmatning finns i URL-syntaxen för avsnittet Tillåt/blockera lista för klientorganisation senare i den här artikeln.

• • Inmatningsgränser för URL:er:
  • Exchange Online Protection: Det maximala antalet tillåtna poster är 500 och det maximala antalet blockposter är 500 (totalt 1 000 URL-poster).
  • Defender för Office 365 plan 1: Det maximala antalet tillåtna poster är 1 000 och det maximala antalet blockposter är 1 000 (totalt 2 000 URL-poster).
  • Defender för Office 365 plan 2: Det maximala antalet tillåtna poster är 5 000 och det maximala antalet blockposter är 1 0000 (totalt 1 5 000 URL-poster).

• Du kan ange högst 250 tecken i en URL-post.

• En post ska vara aktiv inom 5 minuter.

• Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Du har följande alternativ:

  • Microsoft Defender XDR Enhetlig rollbaserad åtkomstkontroll (RBAC) (Om Email & samarbete>Defender för Office 365 behörigheter är Aktiva. Påverkar endast Defender-portalen, inte PowerShell):
    • Lägg till och ta bort poster från listan Tillåt/blockera klientorganisation: Medlemskap som tilldelats följande behörigheter:
      • Auktorisering och inställningar/Säkerhetsinställningar/Identifieringsjustering (hantera)
    • Skrivskyddad åtkomst till listan Tillåt/blockera klientorganisation:
      • Auktorisering och inställningar/Säkerhetsinställningar/Skrivskyddad.
      • Auktorisering och inställningar/Säkerhetsinställningar/Grundläggande säkerhetsinställningar (läs).
  • Exchange Online behörigheter:
    • Lägg till och ta bort poster från listan Tillåt/blockera klientorganisation: Medlemskap i någon av följande rollgrupper:
      • Organisationshantering eller säkerhetsadministratör (rollen Säkerhetsadministratör).
      • Säkerhetsoperatör (Tenant AllowBlockList Manager).
    • Skrivskyddad åtkomst till listan Tillåt/blockera klientorganisation: Medlemskap i någon av följande rollgrupper:
      • Global läsare
      • Säkerhetsläsare
      • Konfiguration med endast visning
      • Visa endast organisationshantering
  • Microsoft Entra behörigheter: Medlemskap i rollerna Global administratör, Säkerhetsadministratör, Global läsare eller Säkerhetsläsare ger användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365.

Skapa tillåta poster för URL:er

Du kan inte skapa tillåtna poster för URL:er direkt i listan Tillåt/blockera klientorganisation. Onödiga tillåt-poster exponerar din organisation för skadlig e-post som skulle ha filtrerats av systemet.

I stället använder du fliken URL:er på sidan Inskickade filer på https://security.microsoft.com/reportsubmission?viewid=url. När du skickar en blockerad URL som Borde inte ha blockerats (falskt positivt), kan du välja Tillåt den här URL:en att lägga till och tillåta post för URL:en på fliken URL:er på sidan Tillåt/blockera klientorganisation Listor. Anvisningar finns i Rapportera bra URL:er till Microsoft.

Obs!

Vi skapar tillåtna poster för URL:er som har bedömts vara skadliga av våra filter under e-postflödet eller vid tidpunkten för klick.

Vi tillåter efterföljande meddelanden som innehåller varianter av den ursprungliga URL:en. Du kan till exempel använda sidan Inskickade filer för att rapportera den felaktigt blockerade URL:en www.contoso.com/abc. Om din organisation senare får ett meddelande som innehåller URL:en (till exempel men inte begränsat till: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5eller www.contoso.com/abc/whatver), blockeras inte meddelandet baserat på URL:en. Med andra ord behöver du inte rapportera flera varianter av samma URL som är bra för Microsoft.

När entiteten i tillåt-posten påträffas igen (under e-postflödet eller vid tidpunkten för klickningen) åsidosätts alla filter som är associerade med den entiteten.

Som standard finns det tillåtna poster för URL:er i 30 dagar. Under dessa 30 dagar lär sig Microsoft från tillåtna poster och tar bort dem eller utökar dem automatiskt. När Microsoft har lärt sig från de borttagna tillåtna posterna levereras meddelanden som innehåller dessa URL:er, såvida inte något annat i meddelandet identifieras som skadligt.

Om meddelanden som innehåller den tillåtna URL:en skickar andra kontroller i filtreringsstacken under e-postflödet levereras meddelandena. Om ett meddelande till exempel skickar e-postautentiseringskontroller och filfiltrering levereras meddelandet om det också innehåller en tillåten URL.

När du klickar åsidosätter url-posten alla filter som är associerade med URL-entiteten, vilket gör att användarna kan komma åt URL:en.

En URL-tillåten post förhindrar inte att URL:en omsluts av skydd mot säkra länkar i Defender för Office 365. Mer information finns i Skriv inte om listan i SafeLinks.

Skapa blockera poster för URL:er

Email meddelanden som innehåller dessa blockerade URL:er blockeras som nätfiske med hög konfidens. Meddelanden som innehåller blockerade URL:er sätts i karantän.

Om du vill skapa blockposter för URL:er använder du någon av följande metoder:

Du har följande alternativ för att skapa blockposter för URL:er:

• Från fliken URL:er på sidan Inskickade filer på https://security.microsoft.com/reportsubmission?viewid=url. När du skickar ett meddelande som Borde ha blockerats (falskt negativt) kan du välja Blockera den här URL:en för att lägga till en blockpost på fliken URL:er på sidan Tillåt/blockera klientorganisation/blockera Listor. Anvisningar finns i Rapportera tvivelaktiga URL:er till Microsoft.

• Från fliken URL:er på sidan Tillåt/blockera klientorganisation/blockera Listor eller i PowerShell enligt beskrivningen i det här avsnittet.

Använd Microsoft Defender-portalen för att skapa blockposter för URL:er i listan Tillåt/blockera klientorganisation

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till avsnittet >Principer & regler>för hotprinciper>förklientorganisation/blockera Listor. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation använder du https://security.microsoft.com/tenantAllowBlockList.

2. På sidan Tillåt/blockera klientorganisation väljer du fliken URL:er .

3. På fliken URL:er väljer du Blockera.

4. I den utfällbara menyn Blockera URL:er som öppnas konfigurerar du följande inställningar:

   • Lägg till URL:er med jokertecken: Ange en URL per rad, upp till högst 20. Mer information om syntaxen för URL-poster finns i URL-syntaxen för avsnittet Tillåt/blockera klientorganisation senare i den här artikeln.

   • Ta bort blockpost efter: Välj från följande värden:

     • Upphör aldrig att gälla
     • 1 dag
     • 7 dagar
     • 30 dagar (standard)
     • Specifikt datum: Det maximala värdet är 90 dagar från idag.

   • Valfri anteckning: Ange beskrivande text för varför du blockerar URL:erna.

   När du är klar med den utfällbara menyn Blockera URL:er väljer du Lägg till.

På fliken URL:er visas posten.

Använd PowerShell för att skapa blockposter för URL:er i listan Tillåt/blockera klientorganisation

Använd följande syntax i Exchange Online PowerShell:

New-TenantAllowBlockListItems -ListType Url -Block -Entries "Value1","Value2",..."ValueN" <-ExpirationDate <Date> | -NoExpiration> [-Notes <String>]

Det här exemplet lägger till en blockpost för URL-contoso.com och alla underdomäner (till exempel contoso.com och xyz.abc.contoso.com). Eftersom vi inte använde parametrarna ExpirationDate eller NoExpiration upphör posten att gälla efter 30 dagar.

New-TenantAllowBlockListItems -ListType Url -Block -Entries *contoso.com

Detaljerad information om syntax och parametrar finns i New-TenantAllowBlockListItems.

Använd Microsoft Defender-portalen för att visa poster för URL:er i listan Tillåt/blockera klientorganisation

I Microsoft Defender-portalen på https://security.microsoft.comgår du till Principer & regler>Hotprinciper>Tillåt/blockera Listor i avsnittet Regler. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.

Välj fliken URL:er .

På fliken URL:er kan du sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Följande kolumner är tillgängliga:

• Värde: URL:en.
• Åtgärd: De tillgängliga värdena är Tillåt eller Blockera.
• Ändrad av
• Senast uppdaterad
• Senast använt datum: Datumet då posten senast användes i filtreringssystemet för att åsidosätta domen.
• Ta bort den: Förfallodatumet.
• Kommentarer

Om du vill filtrera posterna väljer du Filtrera. Följande filter är tillgängliga i den utfällbara menyn Filter som öppnas:

• Åtgärd: De tillgängliga värdena är Tillåt och Blockera.
• Upphör aldrig att gälla: eller
• Uppdaterades senast: Välj Från - och Till-datum .
• Senast använda datum: Välj Från - och Till-datum .
• Ta bort på: Välj Från - och Till-datum .

När du är klar i den utfällbara menyn Filter väljer du Använd. Om du vill rensa filtren väljer du Rensa filter.

Använd rutan Search och ett motsvarande värde för att hitta specifika poster.

Om du vill gruppera posterna väljer du Grupp och sedan Åtgärd. Om du vill dela upp posterna väljer du Ingen.

Använd PowerShell för att visa poster för URL:er i listan Tillåt/blockera klientorganisation

Använd följande syntax i Exchange Online PowerShell:

Get-TenantAllowBlockListItems -ListType Url [-Allow] [-Block] [-Entry <URLValue>] [<-ExpirationDate <Date> | -NoExpiration>]

Det här exemplet returnerar alla tillåtna och blockerade URL:er.

Get-TenantAllowBlockListItems -ListType Url

Det här exemplet filtrerar resultatet efter blockerade URL:er.

Get-TenantAllowBlockListItems -ListType Url -Block

Detaljerad information om syntax och parametrar finns i Get-TenantAllowBlockListItems.

Använd Microsoft Defender-portalen för att ändra poster för URL:er i listan Tillåt/blockera klientorganisation

I befintliga URL-poster kan du ändra förfallodatum och anteckning.

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till avsnittet >Principer & regler>för hotprinciper>förklientorganisation/blockera Listor. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation/blockera Listor använder du https://security.microsoft.com/tenantAllowBlockList.

2. Välj fliken URL:er

3. På fliken URL:er markerar du posten i listan genom att markera kryssrutan bredvid den första kolumnen och sedan välja åtgärden Redigera som visas.

4. I den utfällbara menyn Redigera URL som öppnas är följande inställningar tillgängliga:

   • Blockera poster:
     • Ta bort blockpost efter: Välj från följande värden:
       • 1 dag
       • 7 dagar
       • 30 dagar
       • Upphör aldrig att gälla
       • Specifikt datum: Det maximala värdet är 90 dagar från idag.
     • Valfri anteckning
   • Tillåt poster:
     • Ta bort tillåt post efter: Välj från följande värden:
       • 1 dag
       • 7 dagar
       • 30 dagar
       • Specifikt datum: Det maximala värdet är 30 dagar från idag.
     • Valfri anteckning

   När du är klar med den utfällbara menyn Redigera URL väljer du Spara.

Tips

I den utfällbara menyn med information om en post på fliken URL:er använder du Visa sändning överst i den utfällbara menyn för att gå till informationen om motsvarande post på sidan Inskickade filer . Den här åtgärden är tillgänglig om en överföring var ansvarig för att skapa posten i listan Tillåt/blockera klientorganisation.

Använda PowerShell för att ändra poster för URL:er i listan tillåt/blockera klientorganisation

Använd följande syntax i Exchange Online PowerShell:

Set-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

I det här exemplet ändras förfallodatumet för blockposten för den angivna URL:en.

Set-TenantAllowBlockListItems -ListType Url -Entries "~contoso.com" -ExpirationDate "9/1/2022"

Detaljerad information om syntax och parametrar finns i Set-TenantAllowBlockListItems.

Använd Microsoft Defender-portalen för att ta bort poster för URL:er från listan över tillåtna/blockerade klientorganisationer

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till avsnittet >Principer & regler>för hotprinciper>förklientorganisation/blockera Listor. Om du vill gå direkt till sidan Tillåt/blockera klientorganisation använder du https://security.microsoft.com/tenantAllowBlockList.

2. Välj fliken URL:er .

3. Gör något av följande på fliken URL:er :

   • Markera posten i listan genom att markera kryssrutan bredvid den första kolumnen och välj sedan åtgärden Ta bort som visas.

   • Markera posten i listan genom att klicka någon annanstans på raden än kryssrutan. I den utfällbara menyn information som öppnas väljer du Ta bort överst i den utfällbara menyn.

     Tips

     Om du vill se information om andra poster utan att lämna informationen utfälld använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.

4. I varningsdialogrutan som öppnas väljer du Ta bort.

På fliken URL:er visas inte längre posten.

Tips

Du kan markera flera poster genom att markera varje kryssruta eller markera alla poster genom att markera kryssrutan bredvid kolumnrubriken Värde .

Använd PowerShell för att ta bort poster för URL:er från listan över tillåtna/blockerade klientorganisationer

Använd följande syntax i Exchange Online PowerShell:

Remove-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>>

Det här exemplet tar bort blockposten för den angivna URL:en från listan Tillåt/blockera klientorganisation.

Remove-TenantAllowBlockListItems -ListType Url -Entries "*cohovineyard.com

Detaljerad information om syntax och parametrar finns i Remove-TenantAllowBlockListItems.

URL-syntax för listan över tillåtna/blockerade klientorganisationer

• IPv4- och IPv6-adresser tillåts, men det är inte TCP/UDP-portar.

• Filnamnstillägg tillåts inte (till exempel test.pdf).

• Unicode stöds inte, men Punycode är det.

• Värdnamn tillåts om alla följande instruktioner är sanna:

  • Värdnamnet innehåller en punkt.
  • Det finns minst ett tecken till vänster om perioden.
  • Det finns minst två tecken till höger om perioden.

  Till exempel t.co tillåts .com eller contoso. tillåts inte.

• Undersökvägar är inte underförstådda för tillåtna.

  Inkluderar contoso.com/atill exempel contoso.com inte .

• Jokertecken (*) tillåts i följande scenarier:

  • Ett vänster jokertecken måste följas av en punkt för att ange en underdomän. (gäller endast för block)

    Tillåts till exempel *.contoso.com . *contoso.com Tillåts inte.

  • Ett höger jokertecken måste följa ett snedstreck (/) för att ange en sökväg.

    Till exempel contoso.com/* tillåts contoso.com* eller contoso.com/ab* tillåts inte.

  • *.com* är ogiltigt (inte en matchningsbar domän och det högra jokertecknet följer inte ett snedstreck).

  • Jokertecken tillåts inte i IP-adresser.

• Tilde-tecknet (~) är tillgängligt i följande scenarier:

  • En vänster tilde innebär en domän och alla underdomäner.

    Till exempel ~contoso.com inkluderar contoso.com och *.contoso.com.

• Ett användarnamn eller lösenord stöds inte eller krävs inte.

• Citattecken (' eller ") är ogiltiga tecken.

• En URL bör innehålla alla omdirigeringar där det är möjligt.

Scenarier för URL-inmatning

Giltiga URL-poster och deras resultat beskrivs i följande underavsnitt.

Scenario: Blockering av toppnivådomäner

Post: *.<TLD>/*

• Blockmatchning:
  • a.TLD
  • TLD/abcd
  • b.abcd.TLD
  • TLD/contoso.com
  • TLD/q=contoso.com
  • www.abcd.TLD
  • www.abcd.TLD/q=a@contoso.com

Scenario: Inga jokertecken

Post: contoso.com

• Tillåt matchning: contoso.com

• Tillåt matchas inte:

  • abc-contoso.com
  • contoso.com/a
  • payroll.contoso.com
  • test.com/contoso.com
  • test.com/q=contoso.com
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

• Blockmatchning:

  • contoso.com
  • contoso.com/a
  • payroll.contoso.com
  • test.com/contoso.com
  • test.com/q=contoso.com
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

• Blockera matchas inte: abc-contoso.com

Scenario: Vänster jokertecken (underdomän)

Tips

Tillåt poster i det här mönstret stöds endast från avancerad leveranskonfiguration.

Post: *.contoso.com

• Tillåt matchning och blockmatchning:

  • www.contoso.com
  • xyz.abc.contoso.com

• Tillåt inte matchning och Blockera matchas inte:

  • 123contoso.com
  • contoso.com
  • test.com/contoso.com
  • www.contoso.com/abc

Scenario: Höger jokertecken överst i sökvägen

Post: contoso.com/a/*

• Tillåt matchning och blockmatchning:

  • contoso.com/a/b
  • contoso.com/a/b/c
  • contoso.com/a/?q=joe@t.com

• Tillåt inte matchning och Blockera matchas inte:

  • contoso.com
  • contoso.com/a
  • www.contoso.com
  • www.contoso.com/q=a@contoso.com

Scenario: Vänster tilde

Tips

Tillåt poster i det här mönstret stöds endast från avancerad leveranskonfiguration.

Post: ~contoso.com

• Tillåt matchning och blockmatchning:

  • contoso.com
  • www.contoso.com
  • xyz.abc.contoso.com

• Tillåt inte matchning och Blockera matchas inte:

  • 123contoso.com
  • contoso.com/abc
  • www.contoso.com/abc

Scenario: Höger jokerteckenssuffix

Post: contoso.com/*

• Tillåt matchning och blockmatchning:

  • contoso.com/?q=whatever@fabrikam.com
  • contoso.com/a
  • contoso.com/a/b/c
  • contoso.com/ab
  • contoso.com/b
  • contoso.com/b/a/c
  • contoso.com/ba

• Tillåt inte matchning och Blockera matchas inte: contoso.com

Scenario: Underdomän för vänster jokertecken och höger jokerteckenssuffix

Tips

Tillåt poster i det här mönstret stöds endast från avancerad leveranskonfiguration.

Post: *.contoso.com/*

• Tillåt matchning och blockmatchning:

  • abc.contoso.com/ab
  • abc.xyz.contoso.com/a/b/c
  • www.contoso.com/a
  • www.contoso.com/b/a/c
  • xyz.contoso.com/ba

• Tillåt inte matchad och Blockera matchas inte: contoso.com/b

Scenario: Vänster och höger tilde

Tips

Tillåt poster i det här mönstret stöds endast från avancerad leveranskonfiguration.

Post: ~contoso.com~

• Tillåt matchning och blockmatchning:

  • contoso.com
  • contoso.com/a
  • www.contoso.com
  • www.contoso.com/b
  • xyz.abc.contoso.com
  • abc.xyz.contoso.com/a/b/c
  • contoso.com/b/a/c
  • test.com/contoso.com

• Tillåt inte matchning och Blockera matchas inte:

  • 123contoso.com
  • contoso.org
  • test.com/q=contoso.com

Scenario: IP-adress

Post: 1.2.3.4

• Tillåt matchning och blockmatchning: 1.2.3.4

• Tillåt inte matchning och Blockera matchas inte:

  • 1.2.3.4/a
  • 11.2.3.4/a

IP-adress med höger jokertecken

Post: 1.2.3.4/*

• Tillåt matchning och blockmatchning:
  • 1.2.3.4/b
  • 1.2.3.4/baaaa

Exempel på ogiltiga poster

Följande poster är ogiltiga:

• Saknade eller ogiltiga domänvärden:

  • Contoso
  • *.Contoso.*
  • *.Com
  • *.pdf

• Jokertecken för text eller utan avståndstecken:

  • *contoso.com
  • contoso.com*
  • *1.2.3.4
  • 1.2.3.4*
  • contoso.com/a*
  • contoso.com/ab*

• IP-adresser med portar:

  • contoso.com:443
  • abc.contoso.com:25

• Icke-beskrivande jokertecken:

  • *
  • *.*

• Jokertecken i mitten:

  • conto*so.com
  • conto~so.com

• Dubbla jokertecken

  • contoso.com/**
  • contoso.com/*/*

Relaterade artiklar

• Använd sidan Inskickade filer för att skicka misstänkt skräppost, nätfiske, URL:er, legitim e-post som blockeras och e-postbilagor till Microsoft
• Rapportera falska positiva identifieringar och falska negativa identifieringar
• Hantera tillåtna och block i listan Tillåt/blockera klientorganisation
• Tillåt eller blockera filer i listan Tillåt/blockera klientorganisation
• Tillåt eller blockera e-postmeddelanden i listan Tillåt/blockera klientorganisation