テナント許可/禁止リストを使用して URL を許可またはブロックする
ヒント
Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
Exchange Onlineまたはスタンドアロン Exchange Online Protection (EOP) 組織のメールボックスを持つ Microsoft 365 組織では、Exchange Onlineメールボックスを持たない組織では、管理者はテナント許可/ブロック リストの URL のエントリを作成および管理できます。 テナントの許可/ブロックリストの詳細については、「テナントの許可/ブロックリスト で許可とブロックを管理する」を参照してください。
注:
サード パーティ製のフィッシング シミュレーションからのフィッシング URL を許可するには、 高度な配信構成 を使用して URL を指定します。 [テナントの許可/ブロック] リストは使用しないでください。
この記事では、管理者がMicrosoft Defender ポータルと PowerShell で URL のエントリExchange Online管理する方法について説明します。
はじめに把握しておくべき情報
「https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [テナントの許可/ブロックリスト] ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。 [申請] ページに直接移動するには、https://security.microsoft.com/reportsubmissionを使用します。
Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。 スタンドアロンの EOP PowerShell に接続するには、「Exchange Online Protection PowerShell への接続」を参照してください。
URL エントリの構文については、この記事の後半 の「テナント許可/ブロック リスト 」セクションの URL 構文を参照してください。
-
- URL のエントリ制限:
- Exchange Online Protection: 許可エントリの最大数は 500 で、ブロック エントリの最大数は 500 (合計で 1,000 URL エントリ) です。
- Defender for Office 365プラン 1: 許可エントリの最大数は 1000 で、ブロック エントリの最大数は 1000 (合計で 2000 URL エントリ) です。
- Defender for Office 365プラン 2: 許可エントリの最大数は 5000 で、ブロック エントリの最大数は 10000 (合計で 15000 URL エントリ) です。
URL エントリには最大 250 文字を入力できます。
エントリは 5 分以内にアクティブにする必要があります。
この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。
Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションがEmail &場合>Defender for Office 365アクセス許可はアクティブです。PowerShell ではなく Defender ポータルにのみ影響します。
-
テナントの許可/ブロックリスト: 次のアクセス許可を持つメンバーシップが割り当てられているエントリを追加および削除します。
- 承認と設定/セキュリティ設定/検出のチューニング (管理)
-
テナント許可/ブロック リストへの読み取り専用アクセス:
- 承認と設定/セキュリティ設定/読み取り専用。
- 承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り)。
-
テナントの許可/ブロックリスト: 次のアクセス許可を持つメンバーシップが割り当てられているエントリを追加および削除します。
-
-
テナント許可/ブロック リスト: 次のいずれかの役割グループのメンバーシップのエントリを追加および削除します。
- 組織の管理 または セキュリティ管理者 (セキュリティ管理者ロール)。
- セキュリティ オペレーター (テナント AllowBlockList Manager ロール): このアクセス許可は、https://admin.exchange.microsoft.com>Roles>管理 ロールの Exchange 管理センターで直接割り当てられている場合にのみ機能します。
-
テナント許可/ブロック リストへの読み取り専用アクセス: 次のいずれかの役割グループのメンバーシップ。
- グローバル リーダー
- セキュリティ閲覧者
- "View-Only Configuration/表示専用構成"
- View-Only Organization Management
-
テナント許可/ブロック リスト: 次のいずれかの役割グループのメンバーシップのエントリを追加および削除します。
Microsoft Entraアクセス許可: グローバル管理者*、セキュリティ管理者、グローバル 閲覧者、またはセキュリティ 閲覧者ロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可をユーザーに付与します。
重要
* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
URL の許可エントリを作成する
テナントの許可/ブロック一覧で URL の許可エントリを直接作成することはできません。 不要な許可エントリは、システムによってフィルター処理された悪意のある電子メールにorganizationを公開します。
代わりに、https://security.microsoft.com/reportsubmission?viewid=urlの [申請] ページの [URL] タブを使用します。 ブロックされた URL がクリーンであることを確認して送信すると、[テナントの許可/ブロック] Lists ページの [URL] タブで [この URL の追加と許可のエントリを許可する] を選択できます。 手順については、「 Microsoft に適切な URL を報告する」を参照してください。
ヒント
送信からの許可エントリは、メッセージが悪意があると判断されたフィルターに基づいて、メール フロー中に追加されます。 たとえば、送信者のメール アドレスとメッセージ内の URL が悪意があると判断された場合、送信者 (メール アドレスまたはドメイン) と URL に対して許可エントリが作成されます。
メール フローまたはクリック時に、許可エントリ内のエンティティを含むメッセージがフィルター 処理スタック内の他のチェックに合格すると、メッセージが配信されます (許可されたエンティティに関連付けられているすべてのフィルターはスキップされます)。 たとえば、メッセージが 電子メール認証チェック、URL フィルタリング、およびファイル フィルタリングに合格した場合、許可された送信者のメール アドレスからのメッセージも許可された送信者からのメッセージである場合に配信されます。
既定では、ドメインと電子メール アドレス、ファイル、URL の許可エントリは、フィルター システムがエンティティがクリーンと判断した後、許可エントリが削除されてから 45 日間保持されます。 または、エントリの作成から最大 30 日後に期限切れになる許可を設定することもできます。 なりすまし送信者のエントリの有効期限が切れないことを許可します。
クリック時に、URL 許可エントリは URL エンティティに関連付けられているすべてのフィルターをオーバーライドします。これにより、ユーザーは URL にアクセスできます。
URL 許可エントリでは、DEFENDER FOR OFFICE 365の安全なリンク保護によって URL がラップされるのを防ぐわけではありません。 詳細については、「 SafeLinks でリストを書き換えない」を参照してください。
URL のブロック エントリを作成する
これらのブロックされた URL を含むEmailメッセージは、信頼度の高いフィッシングとしてブロックされます。 ブロックされた URL を含むメッセージは検疫されます。
URL のブロック エントリを作成するには、次のいずれかの方法を使用します。
URL のブロック エントリを作成するには、次のオプションがあります。
https://security.microsoft.com/reportsubmission?viewid=urlの [申請] ページの [URL] タブから。 脅威であることを確認してメッセージを送信する場合は、[この URL をブロックする] を選択して、[テナントの許可/ブロック] Lists ページの [URL] タブにブロック エントリを追加できます。 手順については、「 疑わしい URL を Microsoft に報告する」を参照してください。
このセクションの説明に従って、[テナントの許可/ブロック] ページまたは PowerShell の [URL] タブからLists。
Microsoft Defender ポータルを使用して、テナント許可/ブロック 一覧で URL のブロック エントリを作成する
https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[ テナントの許可/ブロックリスト ] ページに直接移動するには、 https://security.microsoft.com/tenantAllowBlockListを使用します。
[ テナントの許可/ブロックリスト ] ページで、[ URL] タブを選択します。
[URL] タブで、[Block] を選択します。
開いた [ ブロック URL] ポップアップで、次の設定を構成します。
ワイルドカードを使用して URL を追加する: 1 行に最大 20 個の URL を入力します。 URL エントリの構文の詳細については、この記事の後半の 「テナント許可/ブロック リスト 」セクションの URL 構文を参照してください。
後のブロック エントリの削除: 次の値から選択します。
- 有効期限なし
- 1 日
- 7 日間
- 30 日 (既定値)
- 特定の日付: 最大値は今日から 90 日です。
省略可能な注意: URL をブロックする理由を説明するテキストを入力します。
[ ブロック URL] ポップアップが完了したら、[ 追加] を選択します。
[ URL] タブに戻ると、エントリが一覧表示されます。
PowerShell を使用して、[テナントの許可/ブロック] リストで URL のブロック エントリを作成する
PowerShell Exchange Onlineで、次の構文を使用します。
New-TenantAllowBlockListItems -ListType Url -Block -Entries "Value1","Value2",..."ValueN" <-ExpirationDate <Date> | -NoExpiration> [-Notes <String>]
次の使用例は、URL contoso.com とすべてのサブドメイン (contoso.com、xyz.abc.contoso.com など) のブロック エントリを追加します。 ExpirationDate パラメーターまたは NoExpiration パラメーターを使用していないため、エントリの有効期限は 30 日後です。
New-TenantAllowBlockListItems -ListType Url -Block -Entries *contoso.com
構文とパラメーターの詳細については、「 New-TenantAllowBlockListItems」を参照してください。
Microsoft Defender ポータルを使用して、[テナントの許可/ブロック] リストで URL のエントリを表示する
https://security.microsoft.comのMicrosoft Defender ポータルで、[ルール] セクションの [ポリシー & ルール>[ポリシー>テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。
[ URL] タブを 選択します。
[ URL] タブで、使用可能な列ヘッダーをクリックしてエントリを並べ替えることができます。 次の列を使用できます。
- 値: URL。
- アクション: 使用可能な値は [許可] または [ブロック] です。
- 変更したユーザー
- 最終更新日時
- 最終使用日: 判定を上書きするためにフィルター システムでエントリが最後に使用された日付。
- 削除日: 有効期限。
- Notes
エントリをフィルター処理するには、[Filter] を選択します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。
- アクション: 使用可能な値は [許可] と [ブロック] です。
- 有効期限なし: または
- 最終更新日: [ 開始日 ] と [ 終了日] を 選択します。
- 最後に使用された日付: [ 開始日 ] と [ 終了日] を 選択します。
- [削除日] : [ 開始日 ] と [ 終了日] を 選択します。
[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。
検索ボックスと対応する値を使用して、特定のエントリを検索します。
エントリをグループ化するには、[ グループ ] を選択し、[アクション] を選択 します。 エントリのグループ化を解除するには、[ なし] を選択します。
PowerShell を使用してテナントの許可/ブロックリストの URL のエントリを表示する
PowerShell Exchange Onlineで、次の構文を使用します。
Get-TenantAllowBlockListItems -ListType Url [-Allow] [-Block] [-Entry <URLValue>] [<-ExpirationDate <Date> | -NoExpiration>]
次の使用例は、許可されているすべての URL とブロックされた URL を返します。
Get-TenantAllowBlockListItems -ListType Url
次の使用例は、ブロックされた URL によって結果をフィルター処理します。
Get-TenantAllowBlockListItems -ListType Url -Block
構文とパラメーターの詳細については、「 Get-TenantAllowBlockListItems」を参照してください。
Microsoft Defender ポータルを使用して、[テナントの許可/ブロック] リストの URL のエントリを変更する
既存の URL エントリでは、有効期限とメモを変更できます。
https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。
[ URL] タブを 選択します
[URL] タブで、最初の列の横にある [チェック] ボックスを選択して一覧からエントリを選択し、表示される [][編集] アクションを選択します。
開いた [URL の編集] ポップアップで、次の設定を使用できます。
-
ブロック エントリ:
-
後のブロック エントリの削除: 次の値から選択します。
- 1 日
- 7 日間
- 30 日間
- 有効期限なし
- 特定の日付: 最大値は今日から 90 日です。
- 省略可能なメモ
-
後のブロック エントリの削除: 次の値から選択します。
-
エントリを許可する:
-
許可エントリの削除後: 次の値から選択します。
- 1 日
- 7 日間
- 30 日間
- 最終使用日から 45 日後
- 特定の日付: 最大値は今日から 30 日です。
- 省略可能なメモ
-
許可エントリの削除後: 次の値から選択します。
[URL の編集] ポップアップが完了したら、[保存] を選択します。
-
ブロック エントリ:
ヒント
[ URL] タブのエントリの詳細ポップアップで、ポップアップの上部にある View 申請 を使用して、[ 申請 ] ページの対応するエントリの詳細に移動します。 このアクションは、提出がテナント許可/ブロック リスト内のエントリの作成を担当していた場合に使用できます。
PowerShell を使用してテナントの許可/ブロックリストの URL のエントリを変更する
PowerShell Exchange Onlineで、次の構文を使用します。
Set-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
次の使用例は、指定した URL のブロック エントリの有効期限を変更します。
Set-TenantAllowBlockListItems -ListType Url -Entries "~contoso.com" -ExpirationDate "9/1/2022"
構文とパラメーターの詳細については、「 Set-TenantAllowBlockListItems」を参照してください。
Microsoft Defender ポータルを使用して、テナントの許可/ブロック リストから URL のエントリを削除する
https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[ テナントの許可/ブロックリスト ] ページに直接移動するには、 https://security.microsoft.com/tenantAllowBlockListを使用します。
[ URL] タブを 選択します。
[ URL] タブで、次のいずれかの手順を実行します。
最初の列の横にある [チェック] ボックスを選択して、一覧からエントリを選択し、表示される [削除] アクションを選択します。
[チェック] ボックス以外の行の任意の場所をクリックして、一覧からエントリを選択します。 開いた詳細ポップアップで、ポップアップの上部にある [ 削除 ] を選択します。
ヒント
詳細ポップアップを残さずに他のエントリの詳細を表示するには、ポップアップの上部にある Previous 項目 と 次の項目 を使用します。
開いた警告ダイアログで、[削除] を選択 します。
[ URL] タブに戻ると、エントリは一覧に表示されなくなります。
ヒント
各チェックボックスを選択して複数のエントリを選択するか、[値] 列ヘッダーの横にある [チェック] ボックスを選択して、すべてのエントリを選択できます。
PowerShell を使用して、テナントの許可/ブロックリストから URL のエントリを削除する
PowerShell Exchange Onlineで、次の構文を使用します。
Remove-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>>
次の使用例は、指定した URL のブロック エントリをテナント許可/ブロック リストから削除します。
Remove-TenantAllowBlockListItems -ListType Url -Entries "*cohovineyard.com
構文とパラメーターの詳細については、「 Remove-TenantAllowBlockListItems」を参照してください。
テナント許可/ブロック リストの URL 構文
IPv4 アドレスと IPv6 アドレスは許可されますが、TCP/UDP ポートは許可されません。
ファイル名拡張子は許可されません (たとえば、test.pdf)。
Unicode はサポートされていませんが、Punycode は です。
次のすべてのステートメントが true の場合、ホスト名は許可されます。
- ホスト名にはピリオドが含まれています。
- 期間の左側に少なくとも 1 文字あります。
- ピリオドの右側には少なくとも 2 文字あります。
たとえば、
t.co
は許可されます。.com
またはcontoso.
は許可されません。サブパスは許可に対して暗黙的に指定されません。
たとえば、
contoso.com
にはcontoso.com/a
が含まれていません。ワイルドカード (*) は、次のシナリオで使用できます。
サブドメインを指定するには、左ワイルドカードの後にピリオドを付ける必要があります。 (ブロックにのみ適用されます)
たとえば、
*.contoso.com
は許可されます。*contoso.com
は許可されません。パスを指定するには、右のワイルドカードをスラッシュ (/) に従う必要があります。
たとえば、
contoso.com/*
は許可されます。contoso.com*
またはcontoso.com/ab*
は許可されません。*.com*
は無効です (解決可能なドメインではなく、正しいワイルドカードはスラッシュに従いません)。IP アドレスではワイルドカードは使用できません。
チルダ (~) 文字は、次のシナリオで使用できます。
左チルダは、ドメインとすべてのサブドメインを意味します。
たとえば、
~contoso.com
にはcontoso.com
と*.contoso.com
が含まれます。
ユーザー名またはパスワードはサポートされていないか、必須ではありません。
引用符 (' または ") は無効な文字です。
URL には、可能な限りすべてのリダイレクトを含める必要があります。
URL エントリのシナリオ
有効な URL エントリとその結果については、次のサブセクションで説明します。
シナリオ: 最上位ドメインのブロック
エントリ: *.<TLD>/*
-
ブロック一致:
- a.TLD
- TLD/abcd
- b.abcd.TLD
- TLD/contoso.com
- TLD/q=contoso.com
www.abcd.com\xyz.TLD
www.abcd.com\xyz.TLD?q=1234
www.abcd.TLD
www.abcd.TLD/q=a@contoso.com
シナリオ: ワイルドカードなし
エントリ: contoso.com
一致を許可する: contoso.com
[許可] が一致しない:
- abc-contoso.com
- contoso.com/a
- abc.xyz.contoso.com/a/b/c
- payroll.contoso.com
- test.com/contoso.com
- test.com/q=contoso.com
www.contoso.com
www.contoso.com/q=a@contoso.com
ブロック一致:
- contoso.com
- contoso.com/a
- abc.xyz.contoso.com/a/b/c
- payroll.contoso.com
- test.com/contoso.com
- test.com/q=contoso.com
www.contoso.com
www.contoso.com/q=a@contoso.com
ブロックが一致しない: abc-contoso.com
シナリオ: 左ワイルドカード (サブドメイン)
ヒント
このパターンの許可エントリは、 高度な配信構成からのみサポートされます。
エントリ: *.contoso.com
[一致を許可する] と [一致をブロックする] :
www.contoso.com
- xyz.abc.contoso.com
[許可が一致しない ] と [ブロックが一致しない] :
- 123contoso.com
- contoso.com
- test.com/contoso.com
www.contoso.com/abc
シナリオ: パスの上部にある右ワイルドカード
エントリ: contoso.com/a/*
[一致を許可する] と [一致をブロックする] :
- contoso.com/a/b
- contoso.com/a/b/c
- contoso.com/a/?q=joe@t.com
[許可が一致しない ] と [ブロックが一致しない] :
- contoso.com
- contoso.com/a
www.contoso.com
www.contoso.com/q=a@contoso.com
シナリオ: 左チルダ
ヒント
このパターンの許可エントリは、 高度な配信構成からのみサポートされます。
エントリ: ~contoso.com
[一致を許可する] と [一致をブロックする] :
- contoso.com
www.contoso.com
- xyz.abc.contoso.com
[許可が一致しない ] と [ブロックが一致しない] :
- 123contoso.com
- contoso.com/abc
www.contoso.com/abc
シナリオ: 右ワイルドカード サフィックス
エントリ: contoso.com/*
[一致を許可する] と [一致をブロックする] :
- contoso.com/?q=whatever@fabrikam.com
- contoso.com/a
- contoso.com/a/b/c
- contoso.com/ab
- contoso.com/b
- contoso.com/b/a/c
- contoso.com/ba
[一致しない許可] と [ ブロックが一致しない]: contoso.com
シナリオ: 左ワイルドカード サブドメインと右ワイルドカード サフィックス
ヒント
このパターンの許可エントリは、 高度な配信構成からのみサポートされます。
エントリ: *.contoso.com/*
[一致を許可する] と [一致をブロックする] :
- abc.contoso.com/ab
- abc.xyz.contoso.com/a/b/c
www.contoso.com/a
www.contoso.com/b/a/c
- xyz.contoso.com/ba
[一致しない許可] と [ ブロックが一致しない]: contoso.com/b
シナリオ: 左右のチルダ
ヒント
このパターンの許可エントリは、 高度な配信構成からのみサポートされます。
エントリ: ~contoso.com~
[一致を許可する] と [一致をブロックする] :
- contoso.com
- contoso.com/a
www.contoso.com
www.contoso.com/b
- xyz.abc.contoso.com
- abc.xyz.contoso.com/a/b/c
- contoso.com/b/a/c
- test.com/contoso.com
[許可が一致しない ] と [ブロックが一致しない] :
- 123contoso.com
- contoso.org
- test.com/q=contoso.com
シナリオ: IP アドレス
エントリ: 1.2.3.4
一致 と ブロックの一致を許可する: 1.2.3.4
[許可が一致しない ] と [ブロックが一致しない] :
- 1.2.3.4/a
- 11.2.3.4/a
正しいワイルドカードを使用した IP アドレス
エントリ: 1.2.3.4/*
-
[一致を許可する] と [一致をブロックする] :
- 1.2.3.4/b
- 1.2.3.4/baaaa
無効なエントリの例
次のエントリが無効です。
ドメイン値が見つからないか無効です。
- contoso
- *.contoso.*
- *.com
テキストまたは空白文字なしのワイルドカード:
- *contoso.com
- contoso.com*
- *1.2.3.4
- 1.2.3.4*
- contoso.com/a*
- contoso.com/ab*
ポートを持つ IP アドレス:
- contoso.com:443
- abc.contoso.com:25
説明のないワイルドカード:
- *
- *.*
中間ワイルドカード:
- conto*so.com
- conto~so.com
二重ワイルドカード
- contoso.com/**
- contoso.com/*/*