Consenti o blocca gli URL usando l'elenco di tenant consentiti/bloccati
Consiglio
Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.
Nelle organizzazioni di Microsoft 365 con cassette postali in organizzazioni Exchange Online o Exchange Online Protection autonome (EOP) senza cassette postali Exchange Online, gli amministratori possono creare e gestire le voci per gli URL nell'elenco tenant consentiti/bloccati. Per altre informazioni sull'elenco tenant consentiti/bloccati, vedere Gestire i blocchi e le autorizzazioni nell'elenco tenant consentiti/bloccati.
Nota
Per consentire gli URL di phishing da simulazioni di phishing di terze parti, usare la configurazione di recapito avanzata per specificare gli URL. Non usare l'elenco tenant consentiti/bloccati.
Questo articolo descrive come gli amministratori possono gestire le voci per gli URL nel portale di Microsoft Defender e in Exchange Online PowerShell.
Che cosa è necessario sapere prima di iniziare?
Aprire il portale di Microsoft Defender all'indirizzo https://security.microsoft.com. Per passare direttamente alla pagina Elenco tenant consentiti/bloccati , usare https://security.microsoft.com/tenantAllowBlockList. Per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.
Per informazioni su come connettersi a PowerShell per Exchange Online, vedere Connettersi a PowerShell per Exchange Online. Per connettersi a PowerShell di EOP autonomo, vedere Connettersi a PowerShell per Exchange Online Protection.
Per la sintassi della voce URL, vedere la sintassi URL per la sezione Tenant Allow/Block List più avanti in questo articolo.
-
- Limiti di immissione per gli URL:
- Exchange Online Protection: il numero massimo di voci consentite è 500 e il numero massimo di voci in blocco è 500 (1000 voci URL in totale).
- Defender per Office 365 Piano 1: il numero massimo di voci consentite è 1000 e il numero massimo di voci di blocco è 1000 (2000 voci URL in totale).
- Defender per Office 365 Piano 2: il numero massimo di voci consentite è 5000 e il numero massimo di voci di blocco è 10000 (15000 voci URL in totale).
È possibile immettere un massimo di 250 caratteri in una voce URL.
Una voce deve essere attiva entro 5 minuti.
Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:
Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato (Se Email & collaborazione>Defender per Office 365 autorizzazioni è Attivo. Influisce solo sul portale di Defender, non su PowerShell:
-
Aggiungere e rimuovere voci dall'elenco tenant consentiti/bloccati: appartenenza assegnata con le autorizzazioni seguenti:
- Autorizzazione e impostazioni/Impostazioni di sicurezza/Ottimizzazione del rilevamento (gestione)
-
Accesso in sola lettura all'elenco tenant consentiti/bloccati:
- Autorizzazione e impostazioni/Impostazioni di sicurezza/Sola lettura.
- Autorizzazioni e impostazioni/Impostazioni di sicurezza/Impostazioni di sicurezza di base (lettura).
-
Aggiungere e rimuovere voci dall'elenco tenant consentiti/bloccati: appartenenza assegnata con le autorizzazioni seguenti:
Exchange Online autorizzazioni:
-
Aggiungere e rimuovere voci dall'elenco tenant consentiti/bloccati: appartenenza a uno dei gruppi di ruoli seguenti:
- Gestione dell'organizzazione o Amministratore della sicurezza (ruolo di amministratore della sicurezza).
- Operatore di sicurezza (ruolo Tenant AllowBlockList Manager): questa autorizzazione funziona solo se assegnata direttamente nell'interfaccia di amministrazione di Exchange in https://admin.exchange.microsoft.com>Ruoli>Amministrazione Ruoli.
-
Accesso di sola lettura all'elenco tenant consentiti/bloccati: appartenenza a uno dei gruppi di ruoli seguenti:
- Lettore globale
- Ruolo con autorizzazioni di lettura per la sicurezza
- Configurazione solo visualizzazione
- View-Only Organization Management
-
Aggiungere e rimuovere voci dall'elenco tenant consentiti/bloccati: appartenenza a uno dei gruppi di ruoli seguenti:
Microsoft Entra autorizzazioni: l'appartenenza ai ruoli Amministratore* globale, Amministratore della sicurezza, Lettore globale o Lettore di sicurezza offre agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365.
Importante
* Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Creare voci di autorizzazione per gli URL
Non è possibile creare voci consentite per gli URL direttamente nell'elenco tenant consentiti/bloccati. Le voci consentite non necessarie espongono l'organizzazione a messaggi di posta elettronica dannosi che sarebbero stati filtrati dal sistema.
Usare invece la scheda URL nella pagina Invii all'indirizzo https://security.microsoft.com/reportsubmission?viewid=url. Quando si invia un URL bloccato perché è stato confermato che è pulito, è possibile selezionare Consenti l'aggiunta e l'autorizzazione di questo URL per l'URL nella scheda URL della pagina Tenant Consenti/Blocca Elenchi. Per istruzioni, vedere Segnalare url validi a Microsoft.
Consiglio
Le voci consentite dagli invii vengono aggiunte durante il flusso di posta in base ai filtri che hanno determinato che il messaggio era dannoso. Ad esempio, se l'indirizzo di posta elettronica del mittente e un URL nel messaggio sono determinati come dannosi, viene creata una voce di autorizzazione per il mittente (indirizzo di posta elettronica o dominio) e l'URL.
Durante il flusso di posta o il tempo di clic, se i messaggi contenenti le entità nelle voci consentite superano altri controlli nello stack di filtri, i messaggi vengono recapitati (tutti i filtri associati alle entità consentite vengono ignorati). Ad esempio, se un messaggio passa i controlli di autenticazione tramite posta elettronica, il filtro URL e il filtro dei file, viene recapitato un messaggio da un indirizzo di posta elettronica del mittente consentito se proviene anche da un mittente consentito.
Per impostazione predefinita, le voci consentite per domini e indirizzi di posta elettronica, file e URL vengono mantenute per 45 giorni dopo che il sistema di filtro determina che l'entità è pulita e quindi la voce consenti viene rimossa. In alternativa, è possibile impostare la scadenza delle voci fino a 30 giorni dopo la creazione. Le voci consentite per i mittenti spoofing non scadono mai.
Durante il clic, la voce URL allow sostituisce tutti i filtri associati all'entità URL, che consente agli utenti di accedere all'URL.
Una voce URL allow non impedisce il wrapping dell'URL tramite protezione collegamenti sicuri in Defender per Office 365. Per altre informazioni, vedere Non riscrivere l'elenco in SafeLinks.
Creare voci di blocco per gli URL
Email messaggi che contengono questi URL bloccati vengono bloccati come phishing con attendibilità elevata. I messaggi che contengono gli URL bloccati vengono messi in quarantena.
Per creare voci di blocco per gli URL, usare uno dei metodi seguenti:
Sono disponibili le opzioni seguenti per creare voci di blocco per gli URL:
Dalla scheda URL nella pagina Invii all'indirizzo https://security.microsoft.com/reportsubmission?viewid=url. Quando si invia un messaggio come ho confermato che è una minaccia, è possibile selezionare Blocca questo URL per aggiungere una voce di blocco alla scheda URL nella pagina Tenant Consenti/Blocca Elenchi. Per istruzioni, vedere Segnalare URL discutibili a Microsoft.
Dalla scheda URL della pagina Tenant Allow/Block Elenchi o in PowerShell come descritto in questa sezione.
Usare il portale di Microsoft Defender per creare voci di blocco per gli URL nell'elenco tenant consentiti/bloccati
Nel portale di Microsoft Defender in https://security.microsoft.compassare alla sezione >Criteri & regole Regole>criteri> di minacciaElenchitenant consentiti/bloccati. In alternativa, per passare direttamente alla pagina Elenco tenant consentiti/bloccati , usare https://security.microsoft.com/tenantAllowBlockList.
Nella pagina Elenco tenant consentiti/bloccati selezionare la scheda URL .
Nella scheda URL selezionare Blocca.
Nel riquadro a comparsa Blocca URL visualizzato configurare le impostazioni seguenti:
Aggiungere URL con caratteri jolly: immettere un URL per riga, fino a un massimo di 20. Per informazioni dettagliate sulla sintassi per le voci URL, vedere la sintassi url per la sezione Elenco tenant consentiti/bloccati più avanti in questo articolo.
Rimuovere la voce di blocco dopo: Selezionare tra i valori seguenti:
- Non scade mai
- 1 giorno
- 7 giorni
- 30 giorni (impostazione predefinita)
- Data specifica: il valore massimo è 90 giorni da oggi.
Nota facoltativa: immettere testo descrittivo per il motivo per cui si bloccano gli URL.
Al termine del riquadro a comparsa Blocca URL , selezionare Aggiungi.
Di nuovo nella scheda URL , la voce è elencata.
Usare PowerShell per creare voci di blocco per gli URL nell'elenco tenant consentiti/bloccati
In Exchange Online PowerShell usare la sintassi seguente:
New-TenantAllowBlockListItems -ListType Url -Block -Entries "Value1","Value2",..."ValueN" <-ExpirationDate <Date> | -NoExpiration> [-Notes <String>]
In questo esempio viene aggiunta una voce di blocco per l'URL contoso.com e tutti i sottodomini, ad esempio contoso.com e xyz.abc.contoso.com. Poiché non sono stati usati i parametri ExpirationDate o NoExpiration, la voce scade dopo 30 giorni.
New-TenantAllowBlockListItems -ListType Url -Block -Entries *contoso.com
Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-TenantAllowBlockListItems.
Usare il portale di Microsoft Defender per visualizzare le voci per gli URL nell'elenco tenant consentiti/bloccati
Nel portale di Microsoft Defender in https://security.microsoft.compassare a Criteri & regole> Elenchi tenant criteri diminaccia>consentiti/bloccati nella sezione Regole. In alternativa, per passare direttamente alla pagina Tenant Consenti/Blocca Elenchi, usare https://security.microsoft.com/tenantAllowBlockList.
Selezionare la scheda URL .
Nella scheda URL è possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Sono disponibili le colonne seguenti:
- Valore: URL.
- Azione: i valori disponibili sono Consenti o Blocca.
- Modificato da
- Ultimo aggiornamento
- Data ultima utilizzata: data dell'ultimo utilizzo della voce nel sistema di filtro per eseguire l'override del verdetto.
- Rimuovi il: data di scadenza.
- Note
Per filtrare le voci, selezionare Filtro. I filtri seguenti sono disponibili nel riquadro a comparsa Filtro visualizzato:
- Azione: i valori disponibili sono Consenti e Blocca.
- Non scadere mai: o
- Ultimo aggiornamento: selezionare Date da e A .
- Data ultima utilizzo: selezionare Date da e A .
- Rimuovi in: selezionare Date da e A .
Al termine del riquadro a comparsa Filtro , selezionare Applica. Per cancellare i filtri, selezionare Cancella filtri.
Utilizzare la casella di ricerca e un valore corrispondente per trovare voci specifiche.
Per raggruppare le voci, selezionare Raggruppa e quindi selezionare Azione. Per separare le voci, selezionare Nessuno.
Usare PowerShell per visualizzare le voci per gli URL nell'elenco tenant consentiti/bloccati
In Exchange Online PowerShell usare la sintassi seguente:
Get-TenantAllowBlockListItems -ListType Url [-Allow] [-Block] [-Entry <URLValue>] [<-ExpirationDate <Date> | -NoExpiration>]
In questo esempio vengono restituiti tutti gli URL consentiti e bloccati.
Get-TenantAllowBlockListItems -ListType Url
Questo esempio filtra i risultati in base agli URL bloccati.
Get-TenantAllowBlockListItems -ListType Url -Block
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-TenantAllowBlockListItems.
Usare il portale Microsoft Defender per modificare le voci per gli URL nell'elenco tenant consentiti/bloccati
Nelle voci url esistenti è possibile modificare la data di scadenza e la nota.
Nel portale di Microsoft Defender in https://security.microsoft.compassare alla sezione >Criteri & regole Regole>criteri> di minacciaElenchitenant consentiti/bloccati. In alternativa, per passare direttamente alla pagina Tenant Consenti/Blocca Elenchi, usare https://security.microsoft.com/tenantAllowBlockList.
Selezionare la scheda URL
Nella scheda URL selezionare la voce dall'elenco selezionando la casella di controllo accanto alla prima colonna e quindi selezionare l'azione Modifica visualizzata.
Nel riquadro a comparsa Modifica URL visualizzato sono disponibili le impostazioni seguenti:
-
Voci di blocco:
-
Rimuovere la voce di blocco dopo: Selezionare tra i valori seguenti:
- 1 giorno
- 7 giorni
- 30 giorni
- Non scade mai
- Data specifica: il valore massimo è 90 giorni da oggi.
- Nota facoltativa
-
Rimuovere la voce di blocco dopo: Selezionare tra i valori seguenti:
-
Consenti voci:
-
Rimuovere la voce consenti dopo: Selezionare tra i valori seguenti:
- 1 giorno
- 7 giorni
- 30 giorni
- 45 giorni dopo l'ultima data di utilizzo
- Data specifica: il valore massimo è 30 giorni da oggi.
- Nota facoltativa
-
Rimuovere la voce consenti dopo: Selezionare tra i valori seguenti:
Al termine del riquadro a comparsa Modifica URL , selezionare Salva.
-
Voci di blocco:
Consiglio
Nel riquadro a comparsa dei dettagli di una voce nella scheda URL usare Visualizza invio nella parte superiore del riquadro a comparsa per passare ai dettagli della voce corrispondente nella pagina Invii . Questa azione è disponibile se un invio è stato responsabile della creazione della voce nell'elenco tenant consentiti/bloccati.
Usare PowerShell per modificare le voci per gli URL nell'elenco tenant consentiti/bloccati
In Exchange Online PowerShell usare la sintassi seguente:
Set-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
In questo esempio viene modificata la data di scadenza della voce di blocco per l'URL specificato.
Set-TenantAllowBlockListItems -ListType Url -Entries "~contoso.com" -ExpirationDate "9/1/2022"
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-TenantAllowBlockListItems.
Usare il portale di Microsoft Defender per rimuovere le voci per gli URL dall'elenco tenant consentiti/bloccati
Nel portale di Microsoft Defender in https://security.microsoft.compassare alla sezione >Criteri & regole Regole>criteri> di minacciaElenchitenant consentiti/bloccati. In alternativa, per passare direttamente alla pagina Elenco tenant consentiti/bloccati , usare https://security.microsoft.com/tenantAllowBlockList.
Selezionare la scheda URL .
Nella scheda URL eseguire una delle operazioni seguenti:
Selezionare la voce dall'elenco selezionando la casella di controllo accanto alla prima colonna e quindi selezionare l'azione Elimina visualizzata.
Selezionare la voce dall'elenco facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo. Nel riquadro a comparsa dei dettagli visualizzato selezionare Elimina nella parte superiore del riquadro a comparsa.
Consiglio
Per visualizzare i dettagli sulle altre voci senza uscire dal riquadro a comparsa dei dettagli, usare Elemento precedente e Elemento successivo nella parte superiore del riquadro a comparsa.
Nella finestra di dialogo di avviso visualizzata selezionare Elimina.
Nella scheda URL la voce non è più elencata.
Consiglio
È possibile selezionare più voci selezionando ogni casella di controllo o selezionando tutte le voci selezionando la casella di controllo accanto all'intestazione di colonna Valore .
Usare PowerShell per rimuovere le voci per gli URL dall'elenco tenant consentiti/bloccati
In Exchange Online PowerShell usare la sintassi seguente:
Remove-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>>
In questo esempio viene rimossa la voce di blocco per l'URL specificato dall'elenco tenant consentiti/bloccati.
Remove-TenantAllowBlockListItems -ListType Url -Entries "*cohovineyard.com
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Remove-TenantAllowBlockListItems.
Sintassi URL per l'elenco tenant consentiti/bloccati
Gli indirizzi IPv4 e IPv6 sono consentiti, ma le porte TCP/UDP non lo sono.
Le estensioni dei nomi di file non sono consentite, ad esempio test.pdf.
Unicode non è supportato, ma Punycode lo è.
I nomi host sono consentiti se tutte le istruzioni seguenti sono true:
- Il nome host contiene un punto.
- A sinistra del punto è presente almeno un carattere.
- Sono presenti almeno due caratteri a destra del punto.
Ad esempio,
t.co
è consentito o.com
contoso.
non è consentito.I percorsi secondari non sono impliciti per le autorizzazioni.
Ad esempio,
contoso.com
non includecontoso.com/a
.I caratteri jolly (*) sono consentiti negli scenari seguenti:
Un carattere jolly sinistro deve essere seguito da un punto per specificare un sottodominio. (applicabile solo per i blocchi)
Ad esempio,
*.contoso.com
è consentito.*contoso.com
Non è consentito.Un carattere jolly destro deve seguire una barra (/) per specificare un percorso.
Ad esempio,
contoso.com/*
è consentito ocontoso.com*
contoso.com/ab*
non è consentito.*.com*
non è valido (non è un dominio risolvibile e il carattere jolly destro non segue una barra in avanti).I caratteri jolly non sono consentiti negli indirizzi IP.
Il carattere tilde (~) è disponibile negli scenari seguenti:
Una tilde sinistra implica un dominio e tutti i sottodomini.
Ad esempio,
~contoso.com
includecontoso.com
e*.contoso.com
.
Un nome utente o una password non è supportato o obbligatorio.
Le virgolette (' o ") non sono caratteri validi.
Un URL deve includere tutti i reindirizzamenti dove possibile.
Scenari di immissione url
Le voci di URL valide e i relativi risultati sono descritti nelle sottosezioni seguenti.
Scenario: blocco del dominio di primo livello
Voce: *.<TLD>/*
-
Corrispondenza blocco:
- a.TLD
- TLD/abcd
- b.abcd.TLD
- TLD/contoso.com
- TLD/q=contoso.com
www.abcd.com\xyz.TLD
www.abcd.com\xyz.TLD?q=1234
www.abcd.TLD
www.abcd.TLD/q=a@contoso.com
Scenario: nessun carattere jolly
Voce: contoso.com
Consenti corrispondenza: contoso.com
Consenti non corrispondente:
- abc-contoso.com
- contoso.com/a
- abc.xyz.contoso.com/a/b/c
- payroll.contoso.com
- test.com/contoso.com
- test.com/q=contoso.com
www.contoso.com
www.contoso.com/q=a@contoso.com
Corrispondenza blocco:
- contoso.com
- contoso.com/a
- abc.xyz.contoso.com/a/b/c
- payroll.contoso.com
- test.com/contoso.com
- test.com/q=contoso.com
www.contoso.com
www.contoso.com/q=a@contoso.com
Blocco non corrispondente: abc-contoso.com
Scenario: carattere jolly sinistro (sottodominio)
Consiglio
Le voci consentite di questo modello sono supportate solo dalla configurazione di recapito avanzata.
Voce: *.contoso.com
Consenti corrispondenza e blocca corrispondenza:
www.contoso.com
- xyz.abc.contoso.com
Consenti non corrispondente e Blocca non corrispondente:
- 123contoso.com
- contoso.com
- test.com/contoso.com
www.contoso.com/abc
Scenario: carattere jolly destro nella parte superiore del percorso
Voce: contoso.com/a/*
Consenti corrispondenza e blocca corrispondenza:
- contoso.com/a/b
- contoso.com/a/b/c
- contoso.com/a/?q=joe@t.com
Consenti non corrispondente e Blocca non corrispondente:
- contoso.com
- contoso.com/a
www.contoso.com
www.contoso.com/q=a@contoso.com
Scenario: Tilde sinistra
Consiglio
Le voci consentite di questo modello sono supportate solo dalla configurazione di recapito avanzata.
Voce: ~contoso.com
Consenti corrispondenza e blocca corrispondenza:
- contoso.com
www.contoso.com
- xyz.abc.contoso.com
Consenti non corrispondente e Blocca non corrispondente:
- 123contoso.com
- contoso.com/abc
www.contoso.com/abc
Scenario: suffisso con caratteri jolly a destra
Voce: contoso.com/*
Consenti corrispondenza e blocca corrispondenza:
- contoso.com/?q=whatever@fabrikam.com
- contoso.com/a
- contoso.com/a/b/c
- contoso.com/ab
- contoso.com/b
- contoso.com/b/a/c
- contoso.com/ba
Consenti non corrispondente e Blocca non corrispondente: contoso.com
Scenario: sottodominio con caratteri jolly sinistro e suffisso jolly destro
Consiglio
Le voci consentite di questo modello sono supportate solo dalla configurazione di recapito avanzata.
Voce: *.contoso.com/*
Consenti corrispondenza e blocca corrispondenza:
- abc.contoso.com/ab
- abc.xyz.contoso.com/a/b/c
www.contoso.com/a
www.contoso.com/b/a/c
- xyz.contoso.com/ba
Consenti non corrispondente e Blocca non corrispondente: contoso.com/b
Scenario: tilde sinistra e destra
Consiglio
Le voci consentite di questo modello sono supportate solo dalla configurazione di recapito avanzata.
Voce: ~contoso.com~
Consenti corrispondenza e blocca corrispondenza:
- contoso.com
- contoso.com/a
www.contoso.com
www.contoso.com/b
- xyz.abc.contoso.com
- abc.xyz.contoso.com/a/b/c
- contoso.com/b/a/c
- test.com/contoso.com
Consenti non corrispondente e Blocca non corrispondente:
- 123contoso.com
- contoso.org
- test.com/q=contoso.com
Scenario: indirizzo IP
Voce: 1.2.3.4
Consenti corrispondenza e blocca corrispondenza: 1.2.3.4
Consenti non corrispondente e Blocca non corrispondente:
- 1.2.3.4/a
- 11.2.3.4/a
Indirizzo IP con carattere jolly destro
Voce: 1.2.3.4/*
-
Consenti corrispondenza e blocca corrispondenza:
- 1.2.3.4/b
- 1.2.3.4/baaaa
Esempi di voci non valide
Le voci seguenti non sono valide:
Valori di dominio mancanti o non validi:
- contoso
- *.contoso.*
- *.Com
Caratteri jolly nel testo o senza caratteri di spaziatura:
- *contoso.com
- contoso.com*
- *1.2.3.4
- 1.2.3.4*
- contoso.com/a*
- contoso.com/ab*
Indirizzi IP con porte:
- contoso.com:443
- abc.contoso.com:25
Caratteri jolly non descrittivi:
- *
- *.*
Caratteri jolly intermedi:
- conto*so.com
- conto~so.com
Caratteri jolly doppi
- contoso.com/**
- contoso.com/*/*
Articoli correlati
- Usare la pagina Invii per inviare messaggi di posta indesiderata, phishing, URL, messaggi di posta elettronica legittimi bloccati e allegati di posta elettronica a Microsoft
- Segnalare falsi positivi e falsi negativi
- Gestire le autorizzazioni e i blocchi nell'elenco tenant consentiti/bloccati
- Consentire o bloccare i file nell'elenco tenant consentiti/bloccati
- Consentire o bloccare i messaggi di posta elettronica nell'elenco tenant consentiti/bloccati
- Consentire o bloccare gli indirizzi IPv6 nell'elenco tenant consentiti/bloccati