Hantera Klientorganisationens Tillåt/blockera-listan
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för
- Exchange Online Protection
- Microsoft Defender för Office 365 Abonnemang 1 och Abonnemang 2
- Microsoft 365 Defender
Anteckning
Vissa av funktionerna som beskrivs i den här artikeln är i förhandsversioner, kan komma att ändras och är inte tillgängliga i alla organisationer.
Om din organisation inte har de förfalskningsfunktioner som beskrivs i den här artikeln kan du läsa mer om den äldre hanteringsupplevelsen för förfalskningshantering i Hantera förfalskningsavsändare med förfalsknings- och förfalskningsinformation i EOP.
I Microsoft 365 organisationer med postlådor i Exchange Online eller fristående EOP-organisationer (Exchange Online Protection) utan Exchange Online-postlådor, kanske du inte instämmer i EOP-filtrerings förlopp. Till exempel kan ett bra meddelande markeras som dåligt (falskt positivt) eller så kan ett felaktigt meddelande tillåtas (falskt negativt).
I klientorganisationens lista över tillåtna/blockerade Microsoft 365 Defender får du ett sätt att manuellt åsidosätta Microsoft 365 filtrering av beslut. Klientorganisationens lista över tillåtna/blockerade används under e-postflödet för inkommande meddelanden (gäller inte för årsbaserade meddelanden) och när användaren klickar. Du kan ange följande typer av åsidosättningar:
- URL:er som ska blockeras.
- Filer som ska blockeras.
- Avsändar-e-postmeddelanden eller domäner som ska blockeras.
- Förfalskningsavsändare som ska tillåta eller blockera. Om du åsidosätter blockeringen av tillåtande eller blockering av förfalskningsinformation blirden falska avsändaren en manuell tillåta- eller blockeringspost som bara visas på fliken Förfalskning i innehavarlistan över tillåtna/blockerade avsändare. Här kan du även manuellt skapa tillåta eller blockera poster för förfalskningsavsändare innan de identifieras av förfalskningsinformation.
- URL:er som ska tillåtas.
- Filer som ska tillåtas.
- Avsändar-e-postmeddelanden eller domäner som ska tillåtas.
I den här artikeln beskrivs hur du konfigurerar poster i listan över tillåtna/blockerade klientorganisationer i Microsoft 365 Defender-portalen eller i PowerShell (Exchange Online PowerShell för Microsoft 365-organisationer med postlådor i Exchange Online, fristående EOP PowerShell för organisationer utan Exchange Online postlådor).
Vad behöver jag veta innan jag börjar?
Du kan öppna Microsoft 365 Defender-portalen genom att gå till https://security.microsoft.com. Använd för att gå direkt till sidan för klientorganisationslistor om du vill tillåta/blockera https://security.microsoft.com/tenantAllowBlockList listor.
Du anger filer genom att använda hashvärdet SHA256 för filen. Om du vill hitta HASH-värdet för SHA256 för en fil i Windows kör du följande kommando i kommandotolken:
certutil.exe -hashfile "<Path>\<Filename>" SHA256Ett exempelvärde är
768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a. Perceptuella hash-värden (pHash) stöds inte.De tillgängliga URL-värdena beskrivs i URL-syntaxen för avsnittet Tillåt/blockera lista för klientorganisation längre fram i den här artikeln.
Klientorganisationens lista över tillåtna/blockerade tillåter maximalt 500 poster för avsändare, 500 poster för URL-adresser, 500 poster för filshashar och 1 024 poster för förfalskning (falska avsändare).
Det maximala antalet tecken för varje post är:
- Filshashar = 64
- URL = 250
En post ska vara aktiv inom 30 minuter.
Som standard förfaller poster i klientorganisationens lista över tillåtna/blockerade användare efter 30 dagar. Du kan ange ett datum eller ange att de aldrig ska upphöra.
Information om hur du använder Windows PowerShell för att ansluta till Exchange Online finns i artikeln om att ansluta till Exchange Online PowerShell. Information om hur du ansluter till fristående EOP PowerShell finns i Anslut till Exchange Online Protection PowerShell.
Du måste ha tilldelats behörigheter i Microsoft 365 Defender-portalen innan du kan utföra procedurerna i den här artikeln:
- Avsändare, URL:er och filer:
- Om du vill lägga till och ta bort värden från klientorganisationens lista över tillåtna/blockerade användare måste du vara medlem i rollgrupperna Organisationshantering, Säkerhetsadministratör eller Säkerhetsoperator, eller så har du tilldelats rollen AllowBlockList Manager för klientorganisationen.
- För skrivskyddad åtkomst till listan över tillåtna/blockerade klientorganisationer måste du vara medlem i rollgrupperna Global Reader eller Säkerhetsläsare.
- Förfalskning: En av följande kombinationer:
- Organisationshantering
- Säkerhetsadministratör och endast visa-konfiguration eller organisationshantering – endast visa.
Mer information finns under Behörigheter i Exchange Online.
Anteckning
Genom att lägga till användare i motsvarande Azure Active Directory-roll i Administrationscenter för Microsoft 365 får användarna den nödvändiga behörigheten och behörigheter för andra funktioner i Microsoft 365. Mer information finns i Om administratörsroller.
Rollgruppen Skrivskyddad organisationshantering i Exchange Online ger också skrivskyddad åtkomst till funktionen.
- Avsändare, URL:er och filer:
Konfigurera klientorganisationens lista över tillåtna/blockerade
Använda Microsoft 365 Defender portalen
I Microsoft 365 Defender går du till Principer & principer för https://security.microsoft.com > > hotklientorganisationens tillåtna/blockerade listor i avsnittet Regler. Använd för att gå direkt till sidan för klientorganisationslistor om du vill tillåta/blockera https://security.microsoft.com/tenantAllowBlockList listor.
Information om hur du lägger till alla block finns i Lägga till block i listan Över tillåtna/blockerade klientorganisation.
Mer information om hur du lägger till alla tillåtna alternativ finns i Lägg till tillåts i listan Över tillåtna/blockerade klientorganisation.
Om du vill ändra och ta bort alla block och tillåter, se Ändra och ta bort poster i listan över tillåtna/blockerade klientorganisationen.
Använda Exchange Online PowerShell eller fristående EOP PowerShell
Information om hur du hanterar alla tillåts och block finns i Lägga till block i listan Över tillåtna/blockeradeklientorganisation , Lägg till tillåt/blockeraoch Ändra och ta bort poster i klientorganisationens lista över tillåtna/blockerade.
Visa poster i listan över tillåtna/blockerade klientorganisationen
I Microsoft 365 Defender går du till Principer & principer för https://security.microsoft.com > > hotklientorganisationens tillåtna/blockerade listor i avsnittet Regler. Använd för att gå direkt till sidan för klientorganisationslistor om du vill tillåta/blockera https://security.microsoft.com/tenantAllowBlockList listor.
Välj den flik du vill använda. Vilka kolumner som är tillgängliga beror på vilken flik du valde:
- Avsändare:
- Värde: Avsändarens domän eller e-postadress.
- Åtgärd: Värdet Tillåt eller Blockera.
- Uppdaterades senast
- Ta bort på
- Kommentarer
- URL:er:
- Värde: URL:en.
- Åtgärd: Värdet Tillåt eller Blockera.
- Uppdaterades senast
- Ta bort på
- Kommentarer
- Filer
- Värde: Filens hash-kod.
- Åtgärd: Värdet Tillåt eller Blockera.
- Uppdaterades senast
- Ta bort på
- Kommentarer
- Förfalskning
- Spoofed användare
- Skicka infrastruktur
- Förfalskningstyp: värdet Internt eller Externt.
- Åtgärd: Värdeblockering eller Tillåt.
Du kan klicka på en kolumnrubrik för att sortera i stigande eller fallande ordning.
Du kan gruppera resultatet genom att klicka på Gruppera. Vilka värden som är tillgängliga beror på vilken flik du valde:
- Avsändare: Du kan gruppera resultatet efter Åtgärd.
- URL:er: Du kan gruppera resultatet efter åtgärd.
- Filer: Du kan gruppera resultatet efter åtgärd.
- Förfalskning: Du kan gruppera resultaten efter Åtgärds- eller förfalskningstyp.
Klicka på Sök , ange hela eller en del av ett värde och tryck sedan på RETUR för att hitta ett visst värde. När du är klar klickar du på
Rensa sökning.Filtrera resultatet genom att klicka på Filter. Vilka värden som är tillgängliga i den utfällade filterflik som visas beror på vilken flik du valde:
- Avsändare
- Åtgärd
- Upphör aldrig att gälla
- Datum för senaste uppdatering
- Ta bort på
- URL:er
- Åtgärd
- Upphör aldrig att gälla
- Datum för senaste uppdatering
- Ta bort på
- Filer
- Åtgärd
- Upphör aldrig att gälla
- Uppdaterades senast
- Ta bort på
- Förfalskning
- Åtgärd
- Förfalskningstyp
När du är klar klickar du på Använd. Om du vill ta bort befintliga filter klickar du på Filter och sedan på Rensa filter i den utfällklara filterfällan som visas.
- Avsändare:
När du är klar klickar du på Lägg till.
Visa avsändare, fil eller URL-poster i klientorganisationens lista över tillåtna/blockerade adresser
Om du vill visa spärrade avsändare, filer eller URL-poster i klientorganisationens lista över tillåtna/blockerade avsändare använder du följande syntax:
Get-TenantAllowBlockListItems -ListType <Sender | FileHash | URL> [-Entry <SenderValue | FileHashValue | URLValue>] [<-ExpirationDate Date | -NoExpiration>]
Det här exemplet returnerar information om det angivna hash-värdet för filen.
Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"
I det här exemplet returneras alla blockerade URL-adresser.
Get-TenantAllowBlockListItems -ListType Url -Block
Detaljerad information om syntax och parametrar finns i Get-TenantAllowBlockListItems.
Visa falska avsändarposter
Använd följande syntax för att visa falska avsändarposter i listan Tillåt/blockera klientorganisation:
Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>
Det här exemplet returnerar alla falska avsändarposter i listan över tillåtna/blockerade klientorganisationen.
Get-TenantAllowBlockListSpoofItems
Det här exemplet returnerar alla interna poster med tillåta förfalskning.
Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal
Det här exemplet returnerar alla externa poster för spärrade avsändare.
Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External
Detaljerad information om syntax och parametrar finns i Get-TenantAllowBlockListSpoofItems.
URL-syntax för klientorganisationens lista över tillåtna/blockerade
IP4v- och IPv6-adresser är tillåtna, men INTE TCP-/UDP-portar.
Filnamnstillägg tillåts inte (till exempel test.pdf).
Unicode stöds inte, men punycode stöds.
Hostnames tillåts om alla följande uttryck är sanna:
- Värdnamnet innehåller en punkt.
- Det finns minst ett tecken till vänster om perioden.
- Det finns minst två tecken till höger om perioden.
Till exempel är
t.cotillåtet eller.comintecontoso.tillåtet.Undervägar är inte underförstådda för tillåtet.
Exempelvis
contoso.comingår intecontoso.com/a.Jokertecken (*) tillåts i följande scenarier:
Ett vänster jokertecken måste följas av en punkt för att ange en underdomän.
Är till exempel
*.contoso.comtillåtet,*contoso.comär inte tillåtet.Ett höger jokertecken måste följa ett snedstreck (/) om du vill ange en sökväg.
Till exempel är
contoso.com/*tillåtet ellercontoso.com*intecontoso.com/ab*tillåtet.*.com*är ogiltig (inte en lösbar domän och att rätt jokertecken inte följer ett snedstreck).Jokertecken tillåts inte i IP-adresser.
Tecknet tilde (~) är tillgängligt i följande scenarier:
Ett vänster tilde-namn antyder en domän och alla underdomäner.
Exempel:
~contoso.cominkluderarcontoso.comoch*.contoso.com.
URL-poster som innehåller protokoll (till exempel , eller ) kommer att
http://https://ftp://misslyckas, eftersom URL-poster tillämpas på alla protokoll.Ett användarnamn eller lösenord stöds inte eller krävs inte.
Citattecken (' eller ") är ogiltiga tecken.
En URL bör innehålla alla omdirigeringar där det är möjligt.
URL-inmatningsscenarier
Giltiga URL-poster och deras resultat beskrivs i följande avsnitt.
Scenario: Inga jokertecken
Post:contoso.com
Tillåt matchning: contoso.com
Tillåt ej matchad:
- abc-contoso.com
- contoso.com/a
- payroll.contoso.com
- test.com/contoso.com
- test.com/q=contoso.com
- www.contoso.com
- www.contoso.com/q=a@contoso.com
Blockmatchning:
- contoso.com
- contoso.com/a
- payroll.contoso.com
- test.com/contoso.com
- test.com/q=contoso.com
- www.contoso.com
- www.contoso.com/q=a@contoso.com
Blockera matchas inte: abc-contoso.com
Scenario: Vänster jokertecken (underdomän)
Post:*.contoso.com
Tillåt matchning och Blockeringsmatchning:
- www.contoso.com
- xyz.abc.contoso.com
Tillåt ej matchad och Blockera ej matchad:
- 123contoso.com
- contoso.com
- test.com/contoso.com
- www.contoso.com/abc
Scenario: Höger jokertecken högst upp i sökvägen
Post:contoso.com/a/*
Tillåt matchning och Blockeringsmatchning:
- contoso.com/a/b
- contoso.com/a/b/c
- contoso.com/a/?q=joe@t.com
Tillåt ej matchad och Blockera ej matchad:
- contoso.com
- contoso.com/a
- www.contoso.com
- www.contoso.com/q=a@contoso.com
Scenario: Vänster tilde
Post:~contoso.com
Tillåt matchning och Blockeringsmatchning:
- contoso.com
- www.contoso.com
- xyz.abc.contoso.com
Tillåt ej matchad och Blockera ej matchad:
- 123contoso.com
- contoso.com/abc
- www.contoso.com/abc
Scenario: Höger suffix för jokertecken
Post:contoso.com/*
Tillåt matchning och Blockeringsmatchning:
- contoso.com/?q=whatever@fabrikam.com
- contoso.com/a
- contoso.com/a/b/c
- contoso.com/ab
- contoso.com/b
- contoso.com/b/a/c
- contoso.com/ba
Tillåt ej matchad och Blockera ej matchad: contoso.com
Scenario: Vänster underdomän med jokertecken och höger suffix för jokertecken
Post:*.contoso.com/*
Tillåt matchning och Blockeringsmatchning:
- abc.contoso.com/ab
- abc.xyz.contoso.com/a/b/c
- www.contoso.com/a
- www.contoso.com/b/a/c
- xyz.contoso.com/ba
Tillåt ej matchad och Blockera ej matchad: contoso.com/b
Scenario: Vänster och höger tilde
Post:~contoso.com~
Tillåt matchning och Blockeringsmatchning:
- contoso.com
- contoso.com/a
- www.contoso.com
- www.contoso.com/b
- xyz.abc.contoso.com
Tillåt ej matchad och Blockera ej matchad:
- 123contoso.com
- contoso.org
Scenario: IP-adress
Post:1.2.3.4
Tillåt matchning och Blockeringsmatchning: 1.2.3.4
Tillåt ej matchad och Blockera ej matchad:
- 1.2.3.4/a
- 11.2.3.4/a
IP-adress med rätt jokertecken
Post:1.2.3.4/*
Tillåt matchning och Blockeringsmatchning:
- 1.2.3.4/b
- 1.2.3.4/baaaa
Exempel på ogiltiga poster
Följande poster är ogiltiga:
Värden som saknas eller är ogiltiga:
- contoso
- *CONTOSO.*
- *.com
Jokertecken på text eller utan avståndstecken:
- *contoso.com
- contoso.com*
- *1.2.3.4
- 1.2.3.4*
- contoso.com/a*
- contoso.com/ab*
IP-adresser med portar:
- contoso.com:443
- abc.contoso.com:25
Icke-beskrivande jokertecken:
- *
- *.*
Jokertecken i mitten:
- conto * so.com
- conto~so.com
Dubbla jokertecken
- contoso.com/**
- contoso.com/*/*
Domänparsyntax för falska avsändarposter i listan Över tillåtna/blockerade klientorganisationen
Ett domänpar för en förfalskningsavsändare i innehavarlistan över tillåtna/blockerade avsändare har följande syntax: <Spoofed user>, <Sending infrastructure> .
Förfalskningsanvändare: Det här värdet innefattar e-postadressen till den kapade användaren som visas i rutan Från i e-postklienter. Den här adressen kallas även
5322.Fromför adressen. Giltiga värden är:- En enskild e-postadress (till exempel chris@contoso.com).
- En e-postdomän (till exempel contoso.com).
- Jokertecknet (till exempel * ).
Skicka infrastruktur: Det här värdet anger källan till meddelanden från den kapade användaren. Giltiga värden är:
- Domänen som finns i en omvänd DNS-sökning (PTR-post) för käll-e-postserverns IP-adress (till exempel fabrikam.com).
- Om käll-IP-adressen inte har någon PTR-post identifieras den avsändande infrastrukturen som <source IP> /24 (till exempel 192.168.100.100/24).
Här är några exempel på giltiga domänpar för att identifiera förfalskningsavsändare:
contoso.com, 192.168.100.100/24chris@contoso.com, fabrikam.com*, contoso.net
Det maximala antalet falska avsändarposter är 1 000.
Genom att lägga till ett domänpar tillåts eller blockeras bara kombinationen av den förfalskningsanvändaren och avsändarinfrastrukturen. E-post från en förfalskningsanvändare tillåts inte heller e-post från den avsändande infrastrukturkällan för någon förfalskningsanvändare.
Du kan till exempel lägga till en tillåt-post för följande domänpar:
- Domän: gmail.com
- Infrastruktur: tms.mx.com
Endast meddelanden från den domänen och sändning av infrastrukturpar tillåts förfalskning. Andra avsändare som försöker kapa gmail.com-post är inte tillåtna. Meddelanden från avsändare i andra domäner som kommer tms.mx.com kontrolleras med förfalskningsinformation.