テナント許可/禁止リストを使用してファイルを許可またはブロックする
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。
Exchange Online のメールボックスを持つ Microsoft 365 組織または Exchange Online メールボックスを持たないスタンドアロン Exchange Online Protection (EOP) 組織では、管理者はテナント許可/ブロック リスト内のファイルのエントリを作成および管理できます。 テナントの許可/ブロックリストの詳細については、「テナントの許可/ブロックリスト で許可とブロックを管理する」を参照してください。
この記事では、管理者が Microsoft Defender ポータルと Exchange Online PowerShell でファイルのエントリを管理する方法について説明します。
はじめに把握しておくべき情報
「https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [テナントの許可/ブロック リスト] ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。 [申請] ページに直接移動するには、https://security.microsoft.com/reportsubmissionを使用します。
Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。 スタンドアロンの EOP PowerShell に接続するには、「Exchange Online Protection PowerShell への接続」を参照してください。
ファイルは、ファイルの SHA256 ハッシュ値を使用して指定します。 Windows でファイルの SHA256 ハッシュ値を見つけるには、コマンド プロンプトで次のコマンドを実行します。
certutil.exe -hashfile "<Path>\<Filename>" SHA256
値の例が
768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a
。 知覚ハッシュ (pHash) 値はサポートされていません。ファイルのエントリ制限:
- Exchange Online Protection: 許可エントリの最大数は 500 で、ブロック エントリの最大数は 500 (合計で 1,000 ファイル エントリ) です。
- Defender for Office 365 プラン 1: 許可エントリの最大数は 1000 で、ブロック エントリの最大数は 1000 (合計で 2000 ファイル エントリ) です。
- Defender for Office 365 プラン 2: 許可エントリの最大数は 5000 で、ブロック エントリの最大数は 10000 (合計で 15000 ファイル エントリ) です。
ファイル エントリには最大 64 文字を入力できます。
エントリは 5 分以内にアクティブにする必要があります。
この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。
Microsoft Defender XDR 統合ロールベースのアクセス制御 (RBAC) (電子メール & コラボレーションの場合>Exchange Online のアクセス許可はアクティブです。PowerShell ではなく Defender ポータルにのみ影響します:承認と設定/セキュリティ設定/検出のチューニング (管理) または承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り)
-
-
テナント許可/ブロック リスト: 次のいずれかの役割グループのメンバーシップのエントリを追加および削除します。
- 組織の管理 または セキュリティ管理者 (セキュリティ管理者ロール)。
- セキュリティ オペレーター (テナント AllowBlockList Manager)。
-
テナント許可/ブロック リストへの読み取り専用アクセス: 次のいずれかの役割グループのメンバーシップ。
- グローバル リーダー
- セキュリティ閲覧者
- "View-Only Configuration/表示専用構成"
- View-Only Organization Management
-
テナント許可/ブロック リスト: 次のいずれかの役割グループのメンバーシップのエントリを追加および削除します。
Microsoft Entra のアクセス許可: グローバル管理者*、セキュリティ管理者、グローバル 閲覧者、またはセキュリティ閲覧者ロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可をユーザーに付与します。
重要
* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
[ ファイル ] タブは、[ 提出] ページで、Microsoft Defender XDR または Microsoft Defender for Endpoint Plan 2 を持つ組織でのみ使用できます。 [ ファイル] タブ からファイルを送信する方法については、「 Microsoft Defender for Endpoint でファイルを送信する」を参照してください。
ファイルの許可エントリを作成する
テナントの許可/ブロックリストでファイルの許可エントリを直接作成することはできません。 不要な許可エントリは、システムによってフィルター処理された悪意のある電子メールに組織を公開します。
代わりに、https://security.microsoft.com/reportsubmission?viewid=emailAttachmentの [申請] ページの [電子メールの添付ファイル] タブを使用します。 ブロックされたファイルがクリーンであることを確認して送信すると、[テナントの許可/ブロックリスト] ページの [ファイル] タブで [このファイルに許可エントリを追加することを許可する] を選択できます。 手順については、「 Microsoft に適切な電子メールの添付ファイルを送信する」を参照してください。
ヒント
送信からの許可エントリは、メッセージが悪意があると判断されたフィルターに基づいて、メール フロー中に追加されます。 たとえば、送信者のメール アドレスとメッセージ内の URL が悪意があると判断された場合、送信者 (メール アドレスまたはドメイン) と URL に対して許可エントリが作成されます。
メール フローまたはクリック時に、許可エントリ内のエンティティを含むメッセージがフィルター 処理スタック内の他のチェックに合格すると、メッセージが配信されます (許可されたエンティティに関連付けられているすべてのフィルターはスキップされます)。 たとえば、メッセージが 電子メール認証チェック、URL フィルタリング、およびファイル フィルタリングに合格した場合、許可された送信者のメール アドレスからのメッセージも許可された送信者からのメッセージである場合に配信されます。
既定では、 ドメインとメール アドレス、 ファイル、 URL の許可エントリは、フィルター システムがエンティティがクリーンであると判断した後、許可エントリが削除された後、45 日間保持されます。 または、エントリの作成から最大 30 日後に期限切れになる許可を設定することもできます。 なりすまし送信者のエントリの有効期限が切れないことを許可します。
クリック時に、ファイル許可エントリは、ファイル エンティティに関連付けられているすべてのフィルターをオーバーライドします。これにより、ユーザーはファイルにアクセスできます。
ファイルのブロック エントリを作成する
これらのブロックされたファイルを含む電子メール メッセージは 、マルウェアとしてブロックされます。 ブロックされたファイルを含むメッセージは検疫されます。
ファイルのブロック エントリを作成するには、次のいずれかの方法を使用します。
https://security.microsoft.com/reportsubmission?viewid=emailAttachmentの [送信] ページの [電子メールの添付ファイル] タブから。 脅威であることを確認してファイルを送信する場合は、[このファイルをブロックする] を選択して、[テナントの許可/ブロック リスト] ページの [ファイル] タブにブロック エントリを追加できます。 手順については、「 疑わしいメールの添付ファイルを Microsoft に報告する」を参照してください。
このセクションの説明に従って、[テナントの許可/ブロック リスト] ページまたは PowerShell の [ファイル] タブから。
Microsoft Defender ポータルを使用して、テナント許可/ブロック リスト内のファイルのブロック エントリを作成する
https://security.microsoft.comの Microsoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック リスト] に移動します。 または、[ テナントの許可/ブロック リスト] ページに直接移動するには、 https://security.microsoft.com/tenantAllowBlockListを使用します。
[ テナントの許可/ブロック リスト ] ページで、[ ファイル ] タブを選択します。
[ファイル] タブで、[Block] を選択します。
開いた [ ファイルのブロック ] ポップアップで、次の設定を構成します。
ファイル ハッシュの追加: 1 行に 1 つの SHA256 ハッシュ値 (最大 20 個) を入力します。
後のブロック エントリの削除: 次の値から選択します。
- 1 日
- 7 日間
- 30 日 (既定値)
- 有効期限なし
- 特定の日付: 最大値は今日から 90 日です。
省略可能な注意: ファイルをブロックする理由を説明するテキストを入力します。
[ ファイルのブロック ] ポップアップが完了したら、[ 追加] を選択します。
[ ファイル ] タブに戻ると、エントリが一覧表示されます。
PowerShell を使用して、テナント許可/ブロック リスト内のファイルのブロック エントリを作成する
Exchange Online PowerShell で、次の構文を使用します。
New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]
次の使用例は、期限切れになることのない指定されたファイルのブロック エントリを追加します。
New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration
構文とパラメーターの詳細については、「 New-TenantAllowBlockListItems」を参照してください。
Microsoft Defender ポータルを使用して、テナントの許可/ブロックリスト内のファイルのエントリを表示する
https://security.microsoft.comの Microsoft Defender ポータルで、[規則] セクションの [ポリシー] & [ルール>[ポリシー>テナントの許可/ブロック リスト] に移動します。 または、[ テナントの許可/ブロック リスト] ページに直接移動するには、 https://security.microsoft.com/tenantAllowBlockListを使用します。
[ファイル] タブ を 選択します。
[ ファイル ] タブで、使用可能な列ヘッダーをクリックしてエントリを並べ替えることができます。 次の列を使用できます。
- 値: ファイル ハッシュ。
- アクション: 使用可能な値は [許可] または [ブロック] です。
- 変更したユーザー
- 最終更新日時
- 最終使用日: 判定を上書きするためにフィルター システムでエントリが最後に使用された日付。
- 削除日: 有効期限。
- Notes
エントリをフィルター処理するには、[Filter] を選択します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。
- アクション: 使用可能な値は [許可] と [ブロック] です。
- 有効期限なし: または
- 最終更新日: [ 開始日 ] と [ 終了日] を 選択します。
- 最後に使用された日付: [ 開始日 ] と [ 終了日] を 選択します。
- [削除日] : [ 開始日 ] と [ 終了日] を 選択します。
[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。
検索ボックスと対応する値を使用して、特定のエントリを検索します。
エントリをグループ化するには、[ グループ ] を選択し、[アクション] を選択 します。 エントリのグループ化を解除するには、[ なし] を選択します。
PowerShell を使用してテナント許可/ブロック リスト内のファイルのエントリを表示する
Exchange Online PowerShell で、次の構文を使用します。
Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]
次の使用例は、許可およびブロックされたすべてのファイルを返します。
Get-TenantAllowBlockListItems -ListType FileHash
次の使用例は、指定したファイル ハッシュ値の情報を返します。
Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"
次の使用例は、ブロックされたファイルによって結果をフィルター処理します。
Get-TenantAllowBlockListItems -ListType FileHash -Block
構文とパラメーターの詳細については、「 Get-TenantAllowBlockListItems」を参照してください。
Microsoft Defender ポータルを使用して、テナント許可/ブロック リスト内のファイルのエントリを変更する
既存のファイル エントリでは、有効期限とメモを変更できます。
https://security.microsoft.comの Microsoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック リスト] に移動します。 または、[ テナントの許可/ブロック リスト] ページに直接移動するには、 https://security.microsoft.com/tenantAllowBlockListを使用します。
[ファイル] タブ を 選択します
[ ファイル ] タブで、最初の列の横にあるチェック ボックスをオンにして一覧からエントリを選択し、表示される [ 編集 ] アクションを選択します。
開いた [ファイルの編集] ポップアップで、次の設定を使用できます。
-
ブロック エントリ:
-
後のブロック エントリの削除: 次の値から選択します。
- 1 日
- 7 日間
- 30 日間
- 有効期限なし
- 特定の日付: 最大値は今日から 90 日です。
- 省略可能なメモ
-
後のブロック エントリの削除: 次の値から選択します。
-
エントリを許可する:
-
許可エントリの削除後: 次の値から選択します。
- 1 日
- 7 日間
- 30 日間
- 最終使用日から 45 日後
- 特定の日付: 最大値は今日から 30 日です。
- 省略可能なメモ
-
許可エントリの削除後: 次の値から選択します。
[ファイルの編集] ポップアップが完了したら、[保存] を選択します。
-
ブロック エントリ:
ヒント
[ ファイル ] タブのエントリの詳細ポップアップで、ポップアップの上部にある View 申請 を使用して、[ 申請 ] ページの対応するエントリの詳細に移動します。 このアクションは、提出がテナント許可/ブロック リスト内のエントリの作成を担当していた場合に使用できます。
PowerShell を使用して、テナント許可/ブロック リスト内のファイルの既存の許可またはブロック エントリを変更する
Exchange Online PowerShell で、次の構文を使用します。
Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
次の使用例は、指定したファイル ブロック エントリの有効期限を変更します。
Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"
構文とパラメーターの詳細については、「 Set-TenantAllowBlockListItems」を参照してください。
Microsoft Defender ポータルを使用して、テナントの許可/ブロックリストからファイルのエントリを削除する
https://security.microsoft.comの Microsoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック リスト] に移動します。 または、[ テナントの許可/ブロック リスト] ページに直接移動するには、 https://security.microsoft.com/tenantAllowBlockListを使用します。
[ファイル] タブ を 選択します。
[ ファイル ] タブで、次のいずれかの手順を実行します。
最初の列の横にあるチェック ボックスをオンにして、一覧からエントリを選択し、表示される [ 削除 ] アクションを選択します。
チェック ボックス以外の行の任意の場所をクリックして、一覧からエントリを選択します。 開いた詳細ポップアップで、ポップアップの上部にある [ 削除 ] を選択します。
ヒント
詳細ポップアップを残さずに他のエントリの詳細を表示するには、ポップアップの上部にある Previous 項目 と 次の項目 を使用します。
開いた警告ダイアログで、[削除] を選択 します。
[ ファイル ] タブに戻ると、エントリは一覧に表示されなくなります。
ヒント
各チェック ボックスをオンにして複数のエントリを選択するか、[ 値 ] 列ヘッダーの横にあるチェック ボックスをオンにしてすべてのエントリを選択できます。
PowerShell を使用してテナントの許可/ブロックリストからファイルのエントリを削除する
Exchange Online PowerShell で、次の構文を使用します。
Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>
次の使用例は、指定したファイル ブロックをテナント許可/ブロック リストから削除します。
Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"
構文とパラメーターの詳細については、「 Remove-TenantAllowBlockListItems」を参照してください。