管理租用戶允許/封鎖清單中的允許和區塊

提示

您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款

重要事項

若要允許屬於第三方攻擊模擬訓練一部分的網路釣魚 URL,請使用 進階傳遞組態 來指定 URL。 請勿使用租用戶允許/封鎖清單。

在 Exchange Online 或獨立 Exchange Online Protection (EOP 的 Microsoft 365 組織) 沒有 Exchange Online 信箱的組織中,您可能會對 EOP 或適用於 Office 365 的 Microsoft Defender 篩選決策。 例如,良好的訊息可能會標示為不正確 (誤判) ,或透過 (誤判) 來允許錯誤訊息。

Microsoft Defender 入口網站中的租使用者允許/封鎖清單可讓您手動覆寫 適用於 Office 365 的 Defender 或 EOP 篩選決策。 清單會在郵件流程期間用於來自外部寄件者的傳入郵件。

租使用者允許/封鎖清單不適用於組織內的內部訊息。 不過,封鎖 網域和電子郵件地址 的專案會防止組織中的使用者將電子郵件傳送至那些封鎖的網域和位址。

租使用者允許/封鎖清單可在 Microsoft Defender 入口網站https://security.microsoft.com>的 [原則 & 規則>>] [規則] 區段中的 [租用戶允許/封鎖 清單] 取得。 若要直接移至 [租使用者允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList

如需使用方式和設定指示,請參閱下列文章:

這些文章包含 Microsoft Defender 入口網站和PowerShell中的程式。

封鎖租用戶允許/封鎖清單中的專案

注意事項

在租用戶允許/封鎖清單中,封鎖專案優先於允許專案。

使用 [ 提交 ] 頁面 (也稱為系統 管理員提交) https://security.microsoft.com/reportsubmission ,在您將下列類型的專案回報為誤判給 Microsoft 時,建立下列類型的封鎖專案:

  • 網域和電子郵件地址

    • Email 來自這些發件者的郵件會標示為高信賴度網路釣魚,然後移至隔離區。
    • 組織中的用戶無法傳送電子郵件給這些封鎖的網域和位址。 他們會收到下列非傳遞報告 (也稱為 NDR 或退回的郵件) : 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. 即使封鎖專案中只定義了一個收件者電子郵件地址或網域,郵件的所有內部和外部收件者仍會封鎖整個郵件。

    提示

    若只要封鎖來自特定寄件者的電子郵件,請將電子郵件位址或網域新增至 反垃圾郵件原則中的封鎖清單。 若要封鎖寄件者的所有電子郵件,請使用租用戶允許/封鎖清單中的網 域和電子郵件位址

  • 檔案:Email 包含這些已封鎖檔案的訊息會被封鎖為惡意代碼。 包含已封鎖檔案的訊息會遭到隔離。

  • URL:Email 包含這些封鎖 URL 的訊息會被封鎖為高信賴度網路釣魚。 包含封鎖 URL 的訊息會遭到隔離。

在 [租使用者允許/封鎖清單] 中,您也可以直接為下列類型的專案建立區塊專案:

  • 網域和電子郵件地址檔案URL

  • 詐騙發件者:如果您手動覆寫來自 詐騙情報的現有允許決策,封鎖的詐騙發件者會變成手動封鎖專案,只出現在租用戶允許/封鎖清單中的 [ 詐騙發件者 ] 索引卷標上。

根據預設, 網域和電子郵件地址檔案URL 的封鎖專案會在 30 天后到期,但您可以將它們設定為最多 90 天到期或永不過期。 封鎖 詐騙寄件人的 項目永遠不會過期。

允許租用戶允許/封鎖清單中的專案

在大部分情況下,您無法直接在租用戶允許/封鎖清單中建立允許專案:

  • 網域和電子郵件地址檔案URL:您無法直接在租使用者允許/封鎖清單中建立允許專案。 相反地,您會使用 的 [ 提交 ] 頁面 https://security.microsoft.com/reportsubmission 向 Microsoft 報告 電子郵件電子郵件附件URL ,因為 「不應該」遭到封鎖 (誤判)

  • 詐騙寄件者

    • 如果詐騙情報已將郵件封鎖為詐騙,請使用 的 [ 提交 ] 頁面 https://security.microsoft.com/reportsubmission電子郵件 回報給 Microsoft,因為 「不應該」遭到封鎖 (誤判)
    • 您可以在 [租使用者允許/封鎖清單] 的 [詐騙發件者] 索引標籤上,主動建立詐騙 寄件人的 允許專案,然後 詐騙情報 會將郵件識別並封鎖為詐騙。

下列清單描述當您在 提交頁面上 將某個項目回報給 Microsoft 為誤判時,租使用者允許/封鎖清單中會發生什麼事:

  • Email 附件URL:會建立允許專案,而且專案會分別出現在 [租使用者允許/封鎖清單] 的 [檔案] 或 [URL] 索引卷標上。

    針對回報為誤判的 URL,我們將允許包含原始 URL 變化的後續訊息。 例如,您可以使用 [ 提交] 頁面來報告不正確封鎖的網址 www.contoso.com/abc。 如果您的組織稍後收到包含 URL (的訊息,但不限於: www.contoso.com/abcwww.contoso.com/abc?id=1www.contoso.com/abc/def/gty/uyt?id=5www.contoso.com/abc/whatever) ,則不會根據 URL 封鎖訊息。 換句話說,您不需要向 Microsoft 回報相同 URL 的多個變化。

  • Email:如果 EOP 或 適用於 Office 365 的 Defender 篩選堆棧封鎖訊息,可能會在租用戶允許/封鎖清單中建立允許專案:

    • 如果郵件遭到 詐騙情報封鎖,則會建立發件人的允許專案,而且該專案會出現在 [租用戶允許/封鎖清單] 中的 [ 詐騙發件者 ] 索引卷標上。
    • 如果訊息遭到使用者 (或圖形封鎖,) 適用於 Office 365 的 Defender 中的模擬保護,則不會在租用戶允許/封鎖清單中建立允許專案。 相反地,網域或發件者會新增至偵測到郵件之反網路釣魚原則中的 [信任的發件人和網域] 區段。
    • 如果訊息因檔案型篩選而遭封鎖,則會建立檔案的允許專案,而且專案會出現在 [租使用者允許/封鎖清單] 的 [ 檔案 ] 索引卷標上。
    • 如果訊息因 URL 型篩選而封鎖,則會建立 URL 的允許專案,而且專案會出現在 [租使用者允許/封鎖清單] 的 [URL] 索 引卷標上。
    • 如果郵件因任何其他原因而遭封鎖,則會建立發件者電子郵件位址或網域的允許專案,而且專案會出現在 [租使用者允許/封鎖清單] 的 [網 域 & 位址] 索引卷標上。
    • 如果訊息因篩選而未遭到封鎖,則不會在任何位置建立允許專案。

根據預設,允許網域和電子郵件地址、檔案和URL的專案存在30天。 在這 30 天內,Microsoft 會從允許項目中學習並 移除這些專案,或自動加以擴充。 在 Microsoft 從移除的允許專案中學習之後,除非在郵件中偵測到其他專案為惡意,否則會傳遞包含這些實體的訊息。 根據預設,允許詐騙寄件人的專案永不過期。

重要事項

Microsoft 不允許您直接建立允許專案。 不必要的允許專案會將您的組織公開到可能已由系統篩選的惡意電子郵件。

Microsoft 會從 的 [ 提交 ] 頁面 https://security.microsoft.com/reportsubmission管理允許專案的建立。 郵件流程期間會根據判斷郵件為惡意的篩選條件來新增允許專案。 例如,如果寄件者電子郵件地址和郵件中的URL判斷為不正確,則會為寄件者建立允許專案, (電子郵件位址或網域) 和URL。

當實體在郵件流程期間或按兩下) 的時間再次遇到 (時,會略過與該實體相關聯的所有篩選。

在郵件流程期間,如果包含允許實體的訊息在篩選堆疊中通過其他檢查,則會傳遞訊息。 例如,如果郵件通過 電子郵件驗證檢查、URL 篩選和檔案篩選,則會傳遞來自允許寄件者電子郵件地址的郵件。

新增允許或封鎖項目之後會發生什麼事

在 [ 提交 ] 頁面上新增允許專案或租使用者允許/封鎖清單中的封鎖項目之後,項目應該會在) 的 5 分鐘內立即開始運作 (。

如果 Microsoft 已從允許項目中學習,則會移除該專案。 您會收到警示,說明如何從名為 [移除租使用者允許/封鎖清單中的專案] 的內建警示原則中移除現在不必要的允許專案。