使用租户允许/阻止列表允许或阻止文件

• 适用于:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗？ 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

在Microsoft的 365 个组织中，邮箱位于 Exchange Online 或独立Exchange Online Protection (EOP) 组织中没有Exchange Online邮箱，管理员可以创建和管理租户允许/阻止列表中的文件的条目。 有关租户允许/阻止列表的详细信息，请参阅 管理租户允许/阻止列表中的允许和块。

本文介绍管理员如何在 Microsoft Defender 门户和 PowerShell Exchange Online 中管理文件的条目。

开始前，有必要了解什么？

• 在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到“租户允许/阻止Lists”页，请使用 https://security.microsoft.com/tenantAllowBlockList。 若要直接转到 “提交” 页，请使用 https://security.microsoft.com/reportsubmission。

• 若要连接到 Exchange Online PowerShell，请参阅连接到 Exchange Online PowerShell。 若要连接到独立 EOP PowerShell，请参阅连接到 Exchange Online Protection PowerShell。

• 使用文件的 SHA256 哈希值指定文件。 若要在 Windows 中查找文件的 SHA256 哈希值，请在 Powershell 中运行以下命令：

  Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256
  

  示例值为 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a。 不支持感知哈希 (pHash) 值。

• 文件的输入限制：

  • Exchange Online Protection：允许条目的最大数目为 500，块条目的最大数目为 500 (总共) 1000 个文件条目。
  • Defender for Office 365计划 1：允许条目的最大数目为 1000，块条目的最大数目为 1000 (总共) 2000 个文件条目。
  • Defender for Office 365计划 2：允许条目的最大数目为 5000，块条目的最大数目为 10000 (总共) 15000 个文件条目。

• 最多可以在文件条目中输入 64 个字符。

• 条目应在 5 分钟内处于活动状态。

• 需要先分配权限，然后才能执行本文中的过程。 可以选择下列选项：

  • Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Exchange Online权限权限为“活动”。仅影响 Defender 门户，而不影响 PowerShell) ：授权和设置/安全设置/检测优化 (管理) 或授权和设置/安全设置/核心安全设置 (读取) 。

  • Exchange Online权限：

    • 在租户允许/阻止列表中添加和删除条目：以下角色组中的成员身份：
      • 组织管理 或 安全管理员 (安全管理员角色) 。
      • 安全操作员 (租户 AllowBlockList 管理员角色) ：此权限仅在 Exchange 管理中心https://admin.exchange.microsoft.com>>角色管理员角色中直接分配时有效。
    • 对租户允许/阻止列表的只读访问权限：以下角色组中的成员身份：
      • 全局读取器
      • 安全信息读取者
      • 仅查看配置
      • View-Only Organization Management

  • Microsoft Entra权限：全局管理员^*、安全管理员、全局读取者或安全读取者角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限和权限。

    重要

    ^* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色，应仅限于在无法使用现有角色的紧急情况下使用。

• “文件”选项卡仅在具有Microsoft Defender XDR或计划 2 Microsoft Defender for Endpoint的组织中提供“提交”页。 有关从“文件”选项卡提交文件的信息和说明，请参阅在 Microsoft Defender for Endpoint 中提交文件。

为文件创建允许条目

不能直接在租户允许/阻止列表中为文件创建允许条目。 不必要的允许条目向系统筛选的恶意电子邮件公开你的组织。

请改用 “提交” 页上https://security.microsoft.com/reportsubmission?viewid=emailAttachment的 “Email 附件” 选项卡。 提交已阻止的文件（我确认该文件干净）后，可以在“租户允许/阻止Lists”页上的“文件”选项卡上选择“允许此文件添加允许项”。 有关说明，请参阅 将良好的电子邮件附件提交到Microsoft。

提示

根据确定邮件是恶意邮件的筛选器，在邮件流期间添加来自提交的允许条目。 例如，如果邮件中的发件人电子邮件地址和 URL 被确定为恶意，则会为发件人创建允许条目， (电子邮件地址或域) 和 URL。

在邮件流或单击期间，如果包含允许条目中的实体的邮件通过筛选堆栈中的其他检查，则会传递邮件 () 跳过与允许实体关联的所有筛选器。 例如，如果邮件通过 电子邮件身份验证检查、URL 筛选和文件筛选，则如果邮件也来自允许的发件人，则会传递来自允许发件人电子邮件地址的邮件。

默认情况下， 域和电子邮件地址、 文件和URL 的允许条目在筛选系统确定实体干净后保留 45 天，然后删除允许条目。 或者，可以将允许条目在创建后最多 30 天过期。 允许 欺骗发件人的 条目永不过期。

在单击期间，文件允许条目将覆盖与文件实体关联的所有筛选器，从而允许用户访问该文件。

为文件创建块条目

Email包含这些被阻止文件的消息被阻止为恶意软件。 包含阻止文件的邮件将被隔离。

若要为文件创建块条目，请使用以下方法之一：

• 在 “提交” 页上https://security.microsoft.com/reportsubmission?viewid=emailAttachment的 “Email附件” 选项卡上。 在确认该文件是威胁时提交文件时，可以选择“阻止此文件”，将阻止项添加到“租户允许/阻止Lists”页上的“文件”选项卡。 有关说明，请参阅 向Microsoft报告可疑的电子邮件附件。

• 从“租户允许/阻止Lists”页上的“文件”选项卡或在 PowerShell 中，如本部分所述。

使用Microsoft Defender门户为租户允许/阻止列表中的文件创建块条目

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到“策略 & 规则>威胁策略>”部分“>租户允许/阻止Lists”。 或者，若要直接转到租户允许/阻止Lists页，请使用 https://security.microsoft.com/tenantAllowBlockList。

2. 在“租户允许/阻止Lists”页上，选择“文件”选项卡。

3. 在“ 文件 ”选项卡上，选择“ 阻止”。

4. 在打开的 “阻止文件 ”浮出控件中，配置以下设置：

   • 添加文件哈希：每行输入一个 SHA256 哈希值，最大值为 20。

   • 删除后块条目：从以下值中进行选择：

     • 1 天
     • 7 天
     • 默认) (30 天
     • 永不过期
     • 特定日期：最大值为从今天起的 90 天。

   • 可选注意：输入描述性文本，了解阻止文件的原因。

   完成“ 阻止文件” 浮出控件后，选择“ 添加”。

返回“ 文件 ”选项卡，将列出条目。

使用 PowerShell 为租户允许/阻止列表中的文件创建块条目

在 Exchange Online PowerShell 中，使用以下语法：

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

本示例为指定的文件添加一个永不过期的块条目。

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

有关详细语法和参数信息，请参阅 New-TenantAllowBlockListItems。

使用Microsoft Defender门户查看租户允许/阻止列表中的文件的条目

在 Microsoft Defender 门户中https://security.microsoft.com，转到“规则”部分中的策略 & 规则>威胁策略>租户允许/阻止Lists。 或者，若要直接转到租户允许/阻止Lists页，请使用 https://security.microsoft.com/tenantAllowBlockList。

选择“ 文件 ”选项卡。

在“ 文件 ”选项卡上，可以通过单击可用的列标题对条目进行排序。 以下列可用：

• 值：文件哈希。
• 操作：可用值为 Allow 或 Block。
• 修改者
• 上次更新
• 上次使用日期：上次在筛选系统中使用该条目以替代判决的日期。
• 删除日期：到期日期。
• 注意

若要筛选条目，请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器：

• 操作：可用值为 Allow 和 Block。
• 永不过期： 或
• 上次更新时间：选择 “从 ”和“ 到 ”日期。
• 上次使用日期：选择 “从 ”和“ 到 ”日期。
• 删除日期：选择 “从 ”和“ 到 ”日期。

完成 筛选器 浮出控件后，选择“ 应用”。 若要清除筛选器，请选择“ 清除筛选器”。

使用“ 搜索 ”框和相应的值查找特定条目。

若要对条目进行分组，请选择“组”，然后选择“操作”。 若要取消组合条目，请选择“ 无”。

使用 PowerShell 查看租户允许/阻止列表中的文件的条目

在 Exchange Online PowerShell 中，使用以下语法：

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

此示例返回所有允许和阻止的文件。

Get-TenantAllowBlockListItems -ListType FileHash

此示例返回指定文件哈希值的信息。

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

此示例按阻止的文件筛选结果。

Get-TenantAllowBlockListItems -ListType FileHash -Block

有关详细语法和参数信息，请参阅 Get-TenantAllowBlockListItems。

使用Microsoft Defender门户修改租户允许/阻止列表中的文件的条目

在现有文件条目中，可以更改到期日期和备注。

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到“策略 & 规则>威胁策略>”部分“>租户允许/阻止Lists”。 或者，若要直接转到租户允许/阻止Lists页，请使用 https://security.microsoft.com/tenantAllowBlockList。

2. 选择“ 文件 ”选项卡

3. 在“文件”选项卡上，通过选择第一列旁边的“检查”框，从列表中选择条目，然后选择出现的“编辑”操作。

4. 在打开的 “编辑文件” 浮出控件中，可以使用以下设置：

   • 阻止条目：
     • 删除后块条目：从以下值中进行选择：
       • 1 天
       • 7 天
       • 30 天
       • 永不过期
       • 特定日期：最大值为从今天起的 90 天。
     • 可选备注
   • 允许条目：
     • 删除允许项后：从以下值中进行选择：
       • 1 天
       • 7 天
       • 30 天
       • 上次使用日期后 45 天
       • 特定日期：最大值为从今天开始的 30 天。
     • 可选备注

   完成 “编辑文件” 浮出控件后，选择“ 保存”。

提示

在“文件”选项卡上条目的详细信息浮出控件中，使用浮出控件顶部的“查看提交”转到“提交”页上相应条目的详细信息。 如果提交负责在租户允许/阻止列表中创建条目，则此操作可用。

使用 PowerShell 修改租户允许/阻止列表中的文件的现有允许或阻止条目

在 Exchange Online PowerShell 中，使用以下语法：

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

此示例更改指定文件块条目的到期日期。

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

有关详细语法和参数信息，请参阅 Set-TenantAllowBlockListItems。

使用Microsoft Defender门户从租户允许/阻止列表中删除文件的条目

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到“策略 & 规则>威胁策略>”部分“>租户允许/阻止Lists”。 或者，若要直接转到租户允许/阻止Lists页，请使用 https://security.microsoft.com/tenantAllowBlockList。

2. 选择“ 文件 ”选项卡。

3. 在“ 文件 ”选项卡上，执行以下步骤之一：

   • 选择列表中的条目，方法是选择第一列旁边的检查框，然后选择显示的“删除”操作。

   • 单击行中除“检查”框以外的任意位置，从列表中选择条目。 在打开的详细信息浮出控件中，选择浮出控件顶部的“ 删除 ”。

     提示

     若要查看有关其他条目的详细信息而不离开详细信息浮出控件，请使用浮出控件顶部的“上一项”和“下一项”。

4. 在打开的警告对话框中，选择“ 删除”。

返回“ 文件 ”选项卡，不再列出该条目。

提示

可以通过选择每个检查框来选择多个条目，或者通过选择值列标题旁边的检查框来选择所有条目。

使用 PowerShell 从租户允许/阻止列表中删除文件的条目

在 Exchange Online PowerShell 中，使用以下语法：

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

此示例从租户允许/阻止列表中删除指定的文件块。

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

有关详细语法和参数信息，请参阅 Remove-TenantAllowBlockListItems。

相关文章

• 使用“提交”页提交可疑垃圾邮件、网络钓鱼、URL、阻止合法电子邮件和电子邮件附件，以Microsoft
• 报告误报和误报
• 管理租户允许/阻止列表中的允许和块
• 允许或阻止租户允许/阻止列表中的电子邮件
• 允许或阻止租户允许/阻止列表中的 URL
• 允许或阻止租户允许/阻止列表中的 IPv6 地址