テナントの許可/ブロック一覧で許可とブロックを管理する

• 適用対象:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

ヒント

Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。

重要

サード パーティの攻撃シミュレーション トレーニングの一部であるフィッシング URL を許可するには、 高度な配信構成 を使用して URL を指定します。 [テナントの許可/ブロック] リストは使用しないでください。

Exchange Online メールボックスのないExchange Onlineまたはスタンドアロン Exchange Online Protection (EOP) 組織のメールボックスを持つ Microsoft 365 組織では、EOP またはMicrosoft Defender for Office 365フィルター処理の判定。 たとえば、適切なメッセージが無効 (誤検知) としてマークされている場合や、不適切なメッセージが許可される場合があります (偽陰性)。

Microsoft Defender ポータルのテナント許可/ブロック一覧を使用すると、Defender for Office 365または EOP フィルタリングの判定を手動でオーバーライドできます。 このリストは、外部送信者からの受信メッセージのメール フローまたはクリック時に使用されます。

ドメインと電子メール アドレスとなりすまし送信者のエントリは、organization内で送信された内部メッセージに適用されます。 ドメインとメール アドレスのエントリをブロックすると、organizationのユーザーがブロックされたドメインとアドレスに電子メールを送信することもできなくなります。

[テナントの許可/ブロック] の一覧は、https://security.microsoft.comEmail &コラボレーション>ポリシー &ルール>Threat Policies>Rules セクション>Tenant Allow/Block Lists のMicrosoft Defender ポータルで使用できます。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

使用方法と構成手順については、次の記事を参照してください。

• ドメインとメール アドレスとなりすまし送信者: テナント許可/ブロック リストを使用してメールを許可またはブロックする
• ファイル: テナント許可/ブロック リストを使用してファイルを許可またはブロックする
• URL: テナント許可/ブロック リストを使用して URL を許可またはブロックします。
• IP アドレス: テナント許可/ブロック リストを使用して IPv6 アドレスを許可またはブロックします。

これらの記事には、Microsoft Defender ポータルと PowerShell の手順が含まれています。

[テナントの許可/ブロック] リストのエントリをブロックする

ヒント

[テナントの許可/ブロック一覧] で、ブロック エントリが許可エントリよりも優先されます。

microsoft に偽陰性として送信するときに、https://security.microsoft.com/reportsubmissionの [申請] ページ (管理者申請とも呼ばれます) を使用して、次の種類のアイテムのブロック エントリを作成します。

• ドメインとメール アドレス:

  • これらの送信者からのEmailメッセージは信頼度の高いフィッシングとしてマークされ、検疫に移動されます。
  • organizationのユーザーは、これらのブロックされたドメインとアドレスに電子メールを送信できません。 次の配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) を受け取ります。 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. 1 つの受信者のメール アドレスまたはドメインがブロック エントリで定義されている場合でも、メッセージの内部および外部のすべての受信者に対してメッセージ全体がブロックされます。

  ヒント

  特定の送信者からのスパムのみをブロックするには、 スパム対策ポリシーのブロック リストにメール アドレスまたはドメインを追加します。 送信者からのすべてのメールをブロックするには、[テナントの許可/ブロック] リストで ドメインとメール アドレス を使用します。

• ファイル: これらのブロックされたファイルを含むEmailメッセージは、マルウェアとしてブロックされます。 ブロックされたファイルを含むメッセージは検疫されます。

• URL: これらのブロックされた URL を含むEmailメッセージは、信頼度の高いフィッシングとしてブロックされます。 ブロックされた URL を含むメッセージは検疫されます。

[テナントの許可/ブロック一覧] で、次の種類の項目のブロック エントリを直接作成することもできます。

• ドメインとメール アドレス、 ファイル、 URL。

• スプーフィングされた送信者: スプーフィング インテリジェンスからの既存の許可の判定を手動でオーバーライドした場合、ブロックされたスプーフィングされた送信者は、テナント許可/ブロック リストの [ なりすまし送信者 ] タブにのみ表示される手動のブロック エントリになります。

• IP アドレス: ブロック エントリを手動で作成すると、その IP アドレスからのすべての受信メール メッセージがサービスの端にドロップされます。

既定では、 ドメインとメール アドレス、 ファイル 、 URL の ブロック エントリは 30 日後に期限切れになりますが、有効期限が 90 日または期限切れにならないように設定できます。

スプーフィングされた送信者と IP アドレスのエントリをブロックします。有効期限は切れません。

[テナントの許可/ブロック] リストのエントリを許可する

ほとんどの場合、テナント許可/ブロックリストに許可エントリを直接作成することはできません。 不要な許可エントリは、システムによってフィルター処理された可能性がある悪意のある電子メールにorganizationを公開します。

• ドメインとメール アドレス、 ファイル、 URL: テナントの許可/ブロックリストに許可エントリを直接作成することはできません。 代わりに、https://security.microsoft.com/reportsubmissionの [申請] ページを使用して、電子メール、電子メールの添付ファイル、または URL を Microsoft に送信します。 [クリーンであることを確認しました] を選択した後、[このメッセージを許可する]、[このファイルを許可する]、または [この URL を許可する] を選択して、ドメインとメール アドレス、ファイル、または URL の許可エントリを作成できます。

• なりすまし送信者:

  • スプーフィング インテリジェンスによってメッセージが既にスプーフィングとしてブロックされている場合は、https://security.microsoft.com/reportsubmissionの [申請] ページを使用して、クリーンであることを確認したメールを Microsoft に報告し、[このメッセージを許可する] を選択します。
  • スプーフィング インテリジェンスがメッセージをスプーフィングとして識別およびブロックする前に、[テナントの許可/ブロック リスト] の [なりすまし送信者] タブで、なりすまし送信者の許可エントリを事前に作成できます。

• IP アドレス: テナント許可/ブロック リストの [IP アドレス] タブで IP アドレスの許可エントリを事前に作成して、受信メッセージの IP フィルターをオーバーライドできます。

次の一覧では、[申請 ] ページで 誤検知として Microsoft に何かを送信した場合のテナント許可/ブロックリストの動作について説明します。

• Email添付ファイルと URL: 許可エントリが作成され、[テナントの許可/ブロックリスト] の [ファイル] タブまたは [URL] タブにエントリがそれぞれ表示されます。

  誤検知として報告された URL の場合、元の URL のバリエーションを含む後続のメッセージを許可します。 たとえば、[ 申請] ページを 使用して、不適切にブロックされた URL www.contoso.com/abcを報告します。 organizationが後で URL を含むメッセージ (たとえば、www.contoso.com/abc、www.contoso.com/abc?id=1、www.contoso.com/abc/def/gty/uyt?id=5、またはwww.contoso.com/abc/whatever) を受け取った場合、URL に基づいてメッセージはブロックされません。 つまり、同じ URL の複数のバリエーションを Microsoft に報告する必要はありません。

• Email: メッセージが EOP またはDefender for Office 365フィルター処理スタックによってブロックされた場合、許可エントリがテナント許可/ブロック リストに作成される可能性があります。

  • メッセージがスプーフィング インテリジェンスによってブロックされた場合、送信者の許可エントリが作成され、[テナントの許可/ブロックリスト] の [なりすまし送信者] タブにエントリが表示されます。
  • Defender for Office 365でユーザー (またはグラフ) の偽装保護によってメッセージがブロックされた場合、許可エントリはテナントの許可/ブロックリストに作成されません。 代わりに、ドメインまたは送信者は、メッセージを検出したフィッシング対策ポリシーの [信頼された送信者とドメイン] セクションに追加されます。
  • ファイル ベースのフィルターによってメッセージがブロックされた場合は、ファイルの許可エントリが作成され、[テナントの許可/ブロックリスト] の [ ファイル ] タブにエントリが表示されます。
  • URL ベースのフィルターによってメッセージがブロックされた場合、URL の許可エントリが作成され、[テナントの許可/ブロックリスト] の [ URL ] タブにエントリが表示されます。
  • メッセージが他の理由でブロックされた場合は、送信者の電子メール アドレスまたはドメインの許可エントリが作成され、[テナントの許可/ブロックリスト] の [ ドメイン & アドレス ] タブにエントリが表示されます。
  • フィルター処理のためにメッセージがブロックされなかった場合、許可エントリはどこにも作成されません。

ヒント

送信からの許可エントリは、メッセージが悪意があると判断されたフィルターに基づいて、メール フロー中に追加されます。 たとえば、送信者のメール アドレスとメッセージ内の URL が悪意があると判断された場合、送信者 (メール アドレスまたはドメイン) と URL に対して許可エントリが作成されます。

メール フローまたはクリック時に、許可エントリ内のエンティティを含むメッセージがフィルター 処理スタック内の他のチェックに合格すると、メッセージが配信されます (許可されたエンティティに関連付けられているすべてのフィルターはスキップされます)。 たとえば、メッセージが 電子メール認証チェック、URL フィルタリング、およびファイル フィルタリングに合格した場合、許可された送信者のメール アドレスからのメッセージも許可された送信者からのメッセージである場合に配信されます。

既定では、ドメインと電子メール アドレス、ファイル、URL の許可エントリは、フィルター システムがエンティティがクリーンと判断した後、許可エントリが削除されてから 45 日間保持されます。 または、エントリの作成から最大 30 日後に期限切れになる許可を設定することもできます。 なりすまし送信者のエントリの有効期限が切れないことを許可します。

許可またはブロック エントリを追加した後に予想される内容

[申請] ページに許可エントリを追加した後、または [テナントの許可/ブロックリスト] のブロック エントリを追加すると、エントリはすぐに (5 分以内に) 動作を開始する必要があります。

Microsoft が許可エントリから学習した場合、"削除済み" という名前の組み込みのアラート ポリシーは、(不要になった) 許可エントリが削除されたときにアラートを生成します。