Autoriser ou bloquer des fichiers utilisant la liste Autoriser/Bloquer des clients
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
Dans les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou des organisations Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online, les administrateurs peuvent créer et gérer des entrées pour les fichiers dans la liste verte/bloquée des locataires. Pour plus d’informations sur la liste verte/bloquée des locataires, consultez Gérer les autorisations et les blocs dans la liste verte/bloquée des locataires.
Cet article décrit comment les administrateurs peuvent gérer les entrées des fichiers dans le portail Microsoft Defender et dans Exchange Online PowerShell.
Ce qu'il faut savoir avant de commencer
Vous ouvrez le portail Microsoft Defender à l’adresse https://security.microsoft.com. Pour accéder directement à la page Autoriser/bloquer le locataire Listes, utilisez https://security.microsoft.com/tenantAllowBlockList. Pour accéder directement à la page Soumissions , utilisez https://security.microsoft.com/reportsubmission.
Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell. Pour vous connecter à un service Exchange Online Protection PowerShell autonome, voir Se connecter à Exchange Online Protection PowerShell.
Vous spécifiez des fichiers à l’aide de la valeur de hachage SHA256 du fichier. Pour rechercher la valeur de hachage SHA256 d’un fichier dans Windows, exécutez la commande suivante dans PowerShell :
Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256
Un exemple de valeur est
768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a
. Les valeurs de hachage perceptuel (pHash) ne sont pas prises en charge.Limites d’entrée pour les fichiers :
- Exchange Online Protection : le nombre maximal d’entrées autorisées est de 500 et le nombre maximal d’entrées de bloc est de 500 (1 000 entrées de fichier au total).
- Defender for Office 365 Plan 1 : le nombre maximal d’entrées autorisées est de 1 000 et le nombre maximal d’entrées de bloc est de 1 000 (2 000 entrées de fichier au total).
- Defender for Office 365 Plan 2 : le nombre maximal d’entrées autorisées est de 5 000 et le nombre maximal d’entrées de bloc est de 10 000 (15 000 entrées de fichier au total).
Vous pouvez entrer un maximum de 64 caractères dans une entrée de fichier.
Une entrée doit être active dans les 5 minutes.
Vous devez disposer d’autorisations pour pouvoir effectuer les procédures décrites dans cet article. Vous avez le choix parmi les options suivantes :
Microsoft Defender XDR contrôle d’accès en fonction du rôle unifié (RBAC) (si Email & collaboration>Exchange Online autorisations est Active. Affecte uniquement le portail Defender, et non PowerShell) : Autorisation et paramètres/Paramètres de sécurité/Réglage de la détection (gérer) ou Autorisation et paramètres/Paramètres de sécurité/Paramètres de sécurité/Paramètres de sécurité principaux (lecture).
Exchange Online autorisations :
-
Ajoutez et supprimez des entrées de la liste verte/bloquée du locataire : Appartenance à l’un des groupes de rôles suivants :
- Gestion de l’organisation ou Administrateur de la sécurité (rôle d’administrateur de la sécurité).
- Opérateur de sécurité (rôle Gestionnaire AllowBlockList de locataire) : cette autorisation fonctionne uniquement lorsqu’elle est affectée directement dans le Centre d’administration Exchangeà l’adressehttps://admin.exchange.microsoft.com>Rôles> Administration Rôles.
-
Accès en lecture seule à la liste verte/bloquée du locataire : Appartenance à l’un des groupes de rôles suivants :
- Lecteur global
- Lecteur de sécurité
- Afficher uniquement la configuration
- View-Only Organization Management
-
Ajoutez et supprimez des entrées de la liste verte/bloquée du locataire : Appartenance à l’un des groupes de rôles suivants :
autorisations Microsoft Entra : l’appartenance aux rôles Administrateur* général, Administrateur de la sécurité, Lecteur général ou Lecteur de sécurité donne aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365.
Importante
* Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Un onglet Fichiers est disponible dans la page Soumissions uniquement dans les organisations avec Microsoft Defender XDR ou Microsoft Defender pour point de terminaison Plan 2. Pour obtenir des informations et des instructions sur l’envoi de fichiers à partir de l’onglet Fichiers, consultez Envoyer des fichiers dans Microsoft Defender pour point de terminaison.
Créer des entrées d’autorisation pour les fichiers
Vous ne pouvez pas créer d’entrées d’autorisation pour les fichiers directement dans la liste verte/bloquée du locataire. Les entrées d’autorisation inutiles exposent vos organization à des e-mails malveillants qui auraient été filtrés par le système.
Au lieu de cela, vous utilisez l’onglet Email pièces jointes dans la page Soumissions à l’adresse https://security.microsoft.com/reportsubmission?viewid=emailAttachment. Lorsque vous envoyez un fichier bloqué, car j’ai confirmé qu’il est propre, vous pouvez sélectionner Autoriser ce fichier à ajouter une entrée d’autorisation pour le fichier sous l’onglet Fichiers de la page Autoriser/Bloquer le client Listes. Pour obtenir des instructions, consultez Envoyer de bonnes pièces jointes à Microsoft.
Conseil
Les entrées d’autorisation des soumissions sont ajoutées pendant le flux de messagerie en fonction des filtres qui ont déterminé que le message était malveillant. Par exemple, si l’adresse e-mail de l’expéditeur et une URL dans le message sont jugées malveillantes, une entrée d’autorisation est créée pour l’expéditeur (adresse e-mail ou domaine) et l’URL.
Pendant le flux de courrier ou l’heure du clic, si les messages contenant les entités dans les entrées d’autorisation passent d’autres vérifications dans la pile de filtrage, les messages sont remis (tous les filtres associés aux entités autorisées sont ignorés). Par exemple, si un message réussit les vérifications d’authentification, le filtrage d’URL et le filtrage des fichiers, un message provenant d’une adresse e-mail de l’expéditeur autorisé est remis s’il provient également d’un expéditeur autorisé.
Par défaut, les entrées autorisées pour les domaines et les adresses de messagerie, les fichiers et les URL sont conservées pendant 45 jours après que le système de filtrage a déterminé que l’entité est propre, puis l’entrée d’autorisation a été supprimée. Vous pouvez également définir autoriser les entrées à expirer jusqu’à 30 jours après leur création. Autoriser les entrées pour les expéditeurs usurpés n’expirent jamais .
Au moment du clic, l’entrée d’autorisation du fichier remplace tous les filtres associés à l’entité de fichier, ce qui permet aux utilisateurs d’accéder au fichier.
Créer des entrées de bloc pour les fichiers
Email messages qui contiennent ces fichiers bloqués sont bloqués en tant que programmes malveillants. Les messages qui contiennent les fichiers bloqués sont mis en quarantaine.
Pour créer des entrées de bloc pour les fichiers, utilisez l’une des méthodes suivantes :
À partir de l’onglet Email pièces jointes de la page Soumissions à l’adresse https://security.microsoft.com/reportsubmission?viewid=emailAttachment. Lorsque vous envoyez un fichier comme j’ai confirmé qu’il s’agit d’une menace, vous pouvez sélectionner Bloquer ce fichier pour ajouter une entrée de bloc à l’onglet Fichiers de la page Autoriser/Bloquer du locataire Listes. Pour obtenir des instructions, consultez Signaler des pièces jointes douteuses à Microsoft.
À partir de l’onglet Fichiers de la page Autoriser/bloquer le locataire Listes ou dans PowerShell, comme décrit dans cette section.
Utiliser le portail Microsoft Defender pour créer des entrées de bloc pour les fichiers dans la liste verte/bloquée du locataire
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Stratégies & règles>Stratégies de> menacesection Règles>d’autorisation/de blocage du locataire Listes. Ou, pour accéder directement à la page Autoriser/Bloquer le locataire Listes, utilisez https://security.microsoft.com/tenantAllowBlockList.
Dans la page Autoriser/Bloquer le locataire Listes, sélectionnez l’onglet Fichiers.
Sous l’onglet Fichiers , sélectionnez Bloquer.
Dans le menu volant Bloquer les fichiers qui s’ouvre, configurez les paramètres suivants :
Ajouter des hachages de fichier : entrez une valeur de hachage SHA256 par ligne, jusqu’à un maximum de 20.
Supprimer l’entrée de bloc après : Sélectionnez parmi les valeurs suivantes :
- 1 jour
- 7 jours
- 30 jours (par défaut)
- N’expirez jamais
- Date spécifique : la valeur maximale est de 90 jours à partir d’aujourd’hui.
Remarque facultative : entrez un texte descriptif indiquant pourquoi vous bloquez les fichiers.
Lorsque vous avez terminé dans le menu volant Bloquer les fichiers , sélectionnez Ajouter.
De retour sous l’onglet Fichiers , l’entrée est répertoriée.
Utiliser PowerShell pour créer des entrées de bloc pour les fichiers dans la liste verte/bloquée du locataire
Dans Exchange Online PowerShell, utilisez la syntaxe suivante :
New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]
Cet exemple ajoute une entrée de bloc pour les fichiers spécifiés qui n’expire jamais.
New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez New-TenantAllowBlockListItems.
Utiliser le portail Microsoft Defender pour afficher les entrées des fichiers dans la liste verte/bloquée du locataire
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Stratégies & règles>Stratégies de> menace- Autorisation/blocage des locataires Listes dans la section Règles. Ou, pour accéder directement à la page Autoriser/Bloquer le locataire Listes, utilisez https://security.microsoft.com/tenantAllowBlockList.
Sélectionnez l’onglet Fichiers .
Sous l’onglet Fichiers , vous pouvez trier les entrées en cliquant sur un en-tête de colonne disponible. Les colonnes suivantes sont disponibles :
- Valeur : hachage de fichier.
- Action : Les valeurs disponibles sont Autoriser ou Bloquer.
- Modifié par
- Dernière mise à jour
- Date de la dernière utilisation : date à laquelle l’entrée a été utilisée pour la dernière fois dans le système de filtrage pour remplacer le verdict.
- Supprimer le : date d’expiration.
- Remarques
Pour filtrer les entrées, sélectionnez Filtrer. Les filtres suivants sont disponibles dans le menu volant Filtrer qui s’ouvre :
- Action : Les valeurs disponibles sont Autoriser et Bloquer.
- N’expirez jamais : ou
- Dernière mise à jour : sélectionnez De et À dates.
- Date de la dernière utilisation : sélectionnez Des dates et À .
- Supprimer sur : sélectionnez Des dates et À .
Lorsque vous avez terminé dans le menu volant Filtrer , sélectionnez Appliquer. Pour effacer les filtres, sélectionnez Effacer les filtres.
Utilisez la zone De recherche et une valeur correspondante pour rechercher des entrées spécifiques.
Pour regrouper les entrées, sélectionnez Grouper , puis Action. Pour dissocier les entrées, sélectionnez Aucune.
Utiliser PowerShell pour afficher les entrées des fichiers dans la liste verte/bloquée du locataire
Dans Exchange Online PowerShell, utilisez la syntaxe suivante :
Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]
Cet exemple retourne tous les fichiers autorisés et bloqués.
Get-TenantAllowBlockListItems -ListType FileHash
Cet exemple retourne des informations pour la valeur de hachage de fichier spécifiée.
Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"
Cet exemple montre comment filtrer les résultats en fonction des fichiers bloqués.
Get-TenantAllowBlockListItems -ListType FileHash -Block
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Get-TenantAllowBlockListItems.
Utiliser le portail Microsoft Defender pour modifier les entrées des fichiers dans la liste verte/bloquée des locataires
Dans les entrées de fichier existantes, vous pouvez modifier la date d’expiration et la note.
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Stratégies & règles>Stratégies de> menacesection Règles>d’autorisation/de blocage du locataire Listes. Ou, pour accéder directement à la page Autoriser/Bloquer le locataire Listes, utilisez https://security.microsoft.com/tenantAllowBlockList.
Sélectionnez l’onglet Fichiers
Sous l’onglet Fichiers, sélectionnez l’entrée dans la liste en sélectionnant la zone case activée en regard de la première colonne, puis sélectionnez l’action Modifier qui s’affiche.
Dans le menu volant Modifier le fichier qui s’ouvre, les paramètres suivants sont disponibles :
-
Entrées de bloc :
-
Supprimer l’entrée de bloc après : Sélectionnez parmi les valeurs suivantes :
- 1 jour
- 7 jours
- 30 jours
- N’expirez jamais
- Date spécifique : la valeur maximale est de 90 jours à partir d’aujourd’hui.
- Remarque facultative
-
Supprimer l’entrée de bloc après : Sélectionnez parmi les valeurs suivantes :
-
Autoriser les entrées :
-
Supprimer l’entrée d’autorisation après : Sélectionnez parmi les valeurs suivantes :
- 1 jour
- 7 jours
- 30 jours
- 45 jours après la date de dernière utilisation
- Date spécifique : la valeur maximale est de 30 jours à partir d’aujourd’hui.
- Remarque facultative
-
Supprimer l’entrée d’autorisation après : Sélectionnez parmi les valeurs suivantes :
Lorsque vous avez terminé dans le menu volant Modifier le fichier , sélectionnez Enregistrer.
-
Entrées de bloc :
Conseil
Dans le menu volant détails d’une entrée sous l’onglet Fichiers , utilisez Afficher la soumission en haut du menu volant pour accéder aux détails de l’entrée correspondante dans la page Soumissions . Cette action est disponible si une soumission a été chargée de créer l’entrée dans la liste verte/bloquée du locataire.
Utiliser PowerShell pour modifier les entrées d’autorisation ou de blocage existantes pour les fichiers dans la liste verte/bloquée du locataire
Dans Exchange Online PowerShell, utilisez la syntaxe suivante :
Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
Cet exemple montre comment modifier la date d’expiration de l’entrée de bloc de fichiers spécifiée.
Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Set-TenantAllowBlockListItems.
Utiliser le portail Microsoft Defender pour supprimer les entrées des fichiers de la liste verte/bloquée du locataire
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Stratégies & règles>Stratégies de> menacesection Règles>d’autorisation/de blocage du locataire Listes. Ou, pour accéder directement à la page Autoriser/Bloquer le locataire Listes, utilisez https://security.microsoft.com/tenantAllowBlockList.
Sélectionnez l’onglet Fichiers .
Sous l’onglet Fichiers , effectuez l’une des étapes suivantes :
Sélectionnez l’entrée dans la liste en sélectionnant la zone case activée en regard de la première colonne, puis sélectionnez l’action Supprimer qui s’affiche.
Sélectionnez l’entrée dans la liste en cliquant n’importe où dans la ligne autre que la zone case activée. Dans le menu volant de détails qui s’ouvre, sélectionnez Supprimer en haut du menu volant.
Conseil
Pour afficher les détails des autres entrées sans quitter le menu volant de détails, utilisez l’élément Précédent et l’élément suivant en haut du menu volant.
Dans la boîte de dialogue d’avertissement qui s’ouvre, sélectionnez Supprimer.
De retour sous l’onglet Fichiers , l’entrée n’est plus répertoriée.
Conseil
Vous pouvez sélectionner plusieurs entrées en sélectionnant chaque zone case activée, ou sélectionner toutes les entrées en sélectionnant la zone case activée en regard de l’en-tête de colonne Valeur.
Utiliser PowerShell pour supprimer les entrées des fichiers de la liste verte/bloquée des locataires
Dans Exchange Online PowerShell, utilisez la syntaxe suivante :
Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>
Cet exemple montre comment supprimer le bloc de fichiers spécifié de la liste verte/bloquée du locataire.
Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Remove-TenantAllowBlockListItems.
Articles connexes
- Utilisez la page Soumissions pour envoyer des courriers indésirables suspects, des hameçonnages, des URL, des e-mails légitimes bloqués et des pièces jointes à Microsoft
- Signaler les faux positifs et les faux négatifs
- Gérer les autorises et les blocs dans la liste verte/bloquée des locataires
- Autoriser ou bloquer les e-mails dans la liste d’autorisation/de blocage du locataire
- Autoriser ou bloquer les URL dans la liste verte/bloquée du locataire
- Autoriser ou bloquer les adresses IPv6 dans la liste verte/bloquée des locataires