テナントの許可/ブロック一覧で許可とブロックを管理する
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。
重要
サード パーティの攻撃シミュレーション トレーニングの一部であるフィッシング URL を許可するには、 高度な配信構成 を使用して URL を指定します。 [テナントの許可/ブロック] リストは使用しないでください。
Exchange Online のメールボックスを持つ Microsoft 365 組織、または Exchange Online メールボックスのないスタンドアロンの Exchange Online Protection (EOP) 組織では、EOP または Microsoft Defender for Office 365 のフィルター判定に同意しない場合があります。 たとえば、適切なメッセージが無効 (誤検知) としてマークされている場合や、不適切なメッセージが許可される場合があります (偽陰性)。
Microsoft Defender ポータルのテナント許可/ブロックリストを使用すると、Defender for Office 365 または EOP フィルタリングの判定を手動でオーバーライドできます。 リストは、外部送信者からの受信メッセージのメール フロー中に使用されます。
テナントの許可/ブロックリストは、組織内で送信された内部メッセージには適用されません。 ただし、 ドメインとメール アドレスのエントリを ブロックすると、組織内のユーザーがそれらのブロックされたドメインとアドレスに電子メールを 送信 することもできなくなります。
[テナントの許可/ブロック] リストは、Microsoft Defender ポータルの https://security.microsoft.comEmail & コラボレーション>ポリシー & ルール>Threat Policies>Rules セクション >Tenant Allow/Block Lists にあります。 または、[ テナントの許可/ブロック リスト] ページに直接移動するには、 https://security.microsoft.com/tenantAllowBlockListを使用します。
使用方法と構成手順については、次の記事を参照してください。
- ドメインとメール アドレスとなりすまし送信者: テナント許可/ブロック リストを使用してメールを許可またはブロックする
- ファイル: テナント許可/ブロック リストを使用してファイルを許可またはブロックする
- URL: テナント許可/ブロック リストを使用して URL を許可またはブロックします。
これらの記事には、Microsoft Defender ポータルと PowerShell の手順が含まれています。
[テナントの許可/ブロック] リストのエントリをブロックする
ヒント
[テナントの許可/ブロック一覧] で、ブロック エントリが許可エントリよりも優先されます。
microsoft に偽陰性として送信するときに、https://security.microsoft.com/reportsubmissionの [申請] ページ (管理者申請とも呼ばれます) を使用して、次の種類のアイテムのブロック エントリを作成します。
-
- これらの送信者からの電子メール メッセージは 高信頼フィッシング としてマークされ、検疫に移動されます。
- 組織内のユーザーは、これらのブロックされたドメインとアドレスに電子メールを送信できません。 次の配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) を受け取ります。
550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List.
1 つの受信者のメール アドレスまたはドメインがブロック エントリで定義されている場合でも、メッセージの内部および外部のすべての受信者に対してメッセージ全体がブロックされます。
ヒント
特定の送信者からのスパムのみをブロックするには、 スパム対策ポリシーのブロック リストにメール アドレスまたはドメインを追加します。 送信者からのすべてのメールをブロックするには、[テナントの許可/ブロック] リストで ドメインとメール アドレス を使用します。
ファイル: これらのブロックされたファイルを含む電子メール メッセージは 、マルウェアとしてブロックされます。 ブロックされたファイルを含むメッセージは検疫されます。
URL: これらのブロックされた URL を含むメール メッセージは、 信頼度の高いフィッシングとしてブロックされます。 ブロックされた URL を含むメッセージは検疫されます。
[テナントの許可/ブロック一覧] で、次の種類の項目のブロック エントリを直接作成することもできます。
ドメインとメール アドレス、 ファイル、 URL。
スプーフィングされた送信者: スプーフィング インテリジェンスからの既存の許可の判定を手動でオーバーライドした場合、ブロックされたスプーフィングされた送信者は、テナント許可/ブロック リストの [ なりすまし送信者 ] タブにのみ表示される手動のブロック エントリになります。
既定では、 ドメインとメール アドレス、 ファイル 、 URL の ブロック エントリは 30 日後に期限切れになりますが、有効期限が 90 日または期限切れにならないように設定できます。 スプーフィングされた送信者のエントリをブロックすると、期限切れになることはありません。
[テナントの許可/ブロック] リストのエントリを許可する
ほとんどの場合、テナント許可/ブロックリストに許可エントリを直接作成することはできません。 不要な許可エントリは、システムによってフィルター処理された可能性がある悪意のある電子メールに組織を公開します。
ドメインとメール アドレス、 ファイル、 URL: テナントの許可/ブロックリストに許可エントリを直接作成することはできません。 代わりに、https://security.microsoft.com/reportsubmissionの [申請] ページを使用して、電子メール、電子メールの添付ファイル、または URL を Microsoft に送信します。 [クリーン であることを確認しました] を選択した後、[ このメッセージを許可する]、[ このファイルを許可する]、または [ この URL を許可 する] を選択して、ドメインとメール アドレス、ファイル、または URL の許可エントリを作成できます。
なりすまし送信者:
- スプーフィング インテリジェンスによって既にメッセージがスプーフィングとしてブロックされている場合は、https://security.microsoft.com/reportsubmissionの [申請] ページを使用して、クリーンであることを確認したメールを Microsoft に報告し、[このメッセージを許可する] を選択します。
- スプーフィング インテリジェンスがメッセージをスプーフィングとして識別およびブロックする前に、[テナントの許可/ブロック リスト] の [なりすまし送信者] タブで、なりすまし送信者の許可エントリを事前に作成できます。
次の一覧では、[申請 ] ページで 誤検知として Microsoft に何かを送信した場合のテナント許可/ブロックリストの動作について説明します。
電子メールの添付ファイル と URL: 許可エントリが作成され、[テナントの許可/ブロックリスト] の [ ファイル ] タブまたは [URL] タブにエントリがそれぞれ表示されます。
誤検知として報告された URL の場合、元の URL のバリエーションを含む後続のメッセージを許可します。 たとえば、[ 申請] ページを 使用して、不適切にブロックされた URL
www.contoso.com/abc
を報告します。 組織が後で URL を含むメッセージ (たとえば、www.contoso.com/abc
、www.contoso.com/abc?id=1
、www.contoso.com/abc/def/gty/uyt?id=5
、またはwww.contoso.com/abc/whatever
) を受け取った場合、URL に基づいてメッセージはブロックされません。 つまり、同じ URL の複数のバリエーションを Microsoft に報告する必要はありません。電子メール: EOP または Defender for Office 365 フィルター スタックによってメッセージがブロックされた場合、許可エントリがテナントの許可/ブロックリストに作成される可能性があります。
- メッセージがスプーフィング インテリジェンスによってブロックされた場合、送信者の許可エントリが作成され、[テナントの許可/ブロックリスト] の [なりすまし送信者] タブにエントリが表示されます。
- Defender for Office 365 でユーザー (またはグラフ) の偽装保護によってメッセージがブロックされた場合、許可エントリはテナント許可/ブロック リストに作成されません。 代わりに、ドメインまたは送信者は、メッセージを検出したフィッシング対策ポリシーの [信頼された送信者とドメイン] セクションに追加されます。
- ファイル ベースのフィルターによってメッセージがブロックされた場合は、ファイルの許可エントリが作成され、[テナントの許可/ブロックリスト] の [ ファイル ] タブにエントリが表示されます。
- URL ベースのフィルターによってメッセージがブロックされた場合、URL の許可エントリが作成され、[テナントの許可/ブロックリスト] の [ URL ] タブにエントリが表示されます。
- メッセージが他の理由でブロックされた場合は、送信者の電子メール アドレスまたはドメインの許可エントリが作成され、[テナントの許可/ブロックリスト] の [ ドメイン & アドレス ] タブにエントリが表示されます。
- フィルター処理のためにメッセージがブロックされなかった場合、許可エントリはどこにも作成されません。
ヒント
送信からの許可エントリは、メッセージが悪意があると判断されたフィルターに基づいて、メール フロー中に追加されます。 たとえば、送信者のメール アドレスとメッセージ内の URL が悪意があると判断された場合、送信者 (メール アドレスまたはドメイン) と URL に対して許可エントリが作成されます。
メール フローまたはクリック時に、許可エントリ内のエンティティを含むメッセージがフィルター 処理スタック内の他のチェックに合格すると、メッセージが配信されます (許可されたエンティティに関連付けられているすべてのフィルターはスキップされます)。 たとえば、メッセージが 電子メール認証チェック、URL フィルタリング、およびファイル フィルタリングに合格した場合、許可された送信者のメール アドレスからのメッセージも許可された送信者からのメッセージである場合に配信されます。
既定では、 ドメインとメール アドレス、 ファイル、 URL の許可エントリは、フィルター システムがエンティティがクリーンであると判断した後、許可エントリが削除された後、45 日間保持されます。 または、エントリの作成から最大 30 日後に期限切れになる許可を設定することもできます。 なりすまし送信者のエントリの有効期限が切れないことを許可します。
許可またはブロック エントリを追加した後に予想される内容
[申請] ページに許可エントリを追加した後、または [テナントの許可/ブロックリスト] のブロック エントリを追加すると、エントリはすぐに (5 分以内に) 動作を開始する必要があります。
Microsoft が許可エントリから学習した場合、"削除済み" という名前の組み込みのアラート ポリシーは、(不要になった) 許可エントリが削除されたときにアラートを生成します。