共用方式為


使用租用戶允許/封鎖清單來允許或封鎖 IPv6 位址

提示

您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用版條款。

在Microsoft 365 個組織中,Exchange Online 或獨立 Exchange Online Protection (EOP) 組織沒有 Exchange Online 信箱,系統管理員可以在租使用者允許/封鎖清單中建立和管理 IPv6 位址的專案。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊

本文說明系統管理員如何在 Microsoft Defender 入口網站和 Exchange Online PowerShell 中管理 IPv6 位址的專案。

開始之前有哪些須知?

  • 您會在 開啟 Microsoft Defender 入口網站https://security.microsoft.com。 若要直接移至租使用者允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。 若要直接移 至提交頁面 ,請使用 https://security.microsoft.com/reportsubmission

  • 若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。 若要連接至獨立版 EOP PowerShell,請參閱連線到 Exchange Online Protection PowerShell

  • IPv6 位址僅支援下列格式:

    • 冒號十六進位格式的單一位址。 例如,2001:0db8:85a3:0000:0000:8a2e:0370:7334。
    • 零壓縮格式的單一位址。 例如,2001:db8::1 代表 2001:0db8:0000:0000:0000:0000:0001。
    • CIDR IPv6 範圍。 例如,2001:0db8::/32。 支援 1-128 範圍。
  • IP 位址的輸入限制:

    • Exchange Online Protection:允許專案的最大數目為 500,而封鎖專案的最大數目為 500 (總) 1000 個 IP 專案。
    • 適用於 Office 365 的 Defender 方案 1:允許專案的最大數目為 1000,而封鎖專案的最大數目為 1000 (總) 2000 個 IP 專案。
    • 適用於 Office 365 的 Defender 方案 2:允許專案的最大數目為 5000,而封鎖專案的最大數目為 10000, (總計為 15000 個 IP 專案) 。
  • 項目應該會在 5 分鐘內作用中。

  • 您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:

    • Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) (如果 Email & 共同作業>Exchange Online 許可權許可權為作用中。只會影響 Defender 入口網站,而不會影響 PowerShell) :授權和設定/安全性設定/偵測調整 (管理) (讀取) 的授權和設定/安全性設定/核心安全性設定

    • Exchange Online 權限

      • 從租使用者允許/封鎖清單新增和移除專案:下列其中一個角色群組的成員資格:
        • 組織管理安全性系統管理員 (安全性系統管理員角色) 。
        • 安全性操作員 (租使用者 AllowBlockList Manager 角色) :只有在直接在 Exchange 系統管理中心的https://admin.exchange.microsoft.com> [角色>管理員 角色] 中指派此許可權時,此許可權才能運作。
      • 租使用者允許/封鎖清單的只讀存取權:下列其中一個角色群組中的成員資格:
        • 全域讀取者
        • 安全性讀取者
        • 僅限檢視組態
        • View-Only Organization Management
    • Microsoft Entra 權限:全域管理員、安全性系統管理員*全域讀取者安全性讀取者角色的成員資格,可為使用者提供Microsoft 365 中其他功能的必要許可權許可權。

      重要事項

      * Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。

建立 IPv6 位址的允許專案

允許專案只會覆寫指定之傳送IP位址的IP篩選器。

您可以直接在租使用者允許/封鎖清單中建立 IPv6 位址的允許專案,如本節所述。

使用 Microsoft Defender 入口網站在租用戶允許/封鎖清單中建立 IPv6 位址的允許專案

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList

  2. 在 [租用戶允許/封鎖 清單] 頁面上,選取 [IP 位址] 索引標籤。

  3. 在 [ IP 位址] 索引標籤 上,選取 [ 允許]

  4. 在開啟的 [ 允許 IP 位址 ] 飛出視窗中,設定下列設定:

    • 新增IP位址:每行輸入一個IP位址,最多20個。

    • 移除[允許輸入]:從下列值中選取:

      • 1 天
      • 7 天
      • 30 天
      • 默認) (永遠不會過期
      • 特定日期:最大值為從今天起的90天。
    • 選擇性注意事項:輸入您為何允許IP位址的描述性文字。

    當您在 [ 允許 IP 位址 ] 飛出視窗中完成時,請選取 [ 新增]

回到 [IP 位址] 索引 標籤上,會列出專案。

使用 PowerShell 在租使用者允許/封鎖清單中建立 IPv6 位址的允許專案

Exchange Online PowerShell 中,使用下列語法:

New-TenantAllowBlockListItems -ListType IP -Allow -Entries "IPAddress1","IPAddress2",..."IPAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

本範例會為從未過期的指定IP位址新增允許專案。

New-TenantAllowBlockListItems -ListType IP -Allow -Entries "2001:db8:3333:4444:5555:6666:7777:8882" -NoExpiration

如需詳細的語法和參數資訊,請參閱 New-TenantAllowBlockListItems

建立 IPv6 位址的區塊專案

您可以直接在租使用者允許/封鎖清單中建立 IPv6 位址的區塊專案,如本節所述。

來自封鎖專案中 IPv6 位址的內送電子郵件訊息會在服務邊緣遭到封鎖。

使用 Microsoft Defender 入口網站在租用戶允許/封鎖清單中建立 IPv6 位址的封鎖專案

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList

  2. 在 [租用戶允許/封鎖 清單] 頁面上,選取 [IP 位址] 索引標籤。

  3. 在 [ IP 位址] 索引標籤 上,選取 [ 封鎖]

  4. 在開啟的 [封鎖 IP 位址 ] 飛出視窗中,設定下列設定:

    • 新增IP位址:每行輸入一個IP位址,最多20個。

    • 拿掉區塊項目之後:從下列值中選取:

      • 1 天
      • 7 天
      • 30 天
      • 默認) (永遠不會過期
      • 特定日期:最大值為從今天起的90天。
    • 選擇性注意事項:輸入封鎖IP位址原因的描述性文字。

    當您在 [ 封鎖 IP 位址 ] 飛出視窗中完成時,請選取 [ 新增]

回到 [IP 位址] 索引 標籤上,會列出專案。

使用 PowerShell 在租使用者允許/封鎖清單中建立 IPv6 位址的封鎖專案

Exchange Online PowerShell 中,使用下列語法:

New-TenantAllowBlockListItems -ListType IP -Block -Entries "IPAddress1","IPAddress2",..."IPAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

本範例會為從未過期的指定IP位址新增區塊專案。

New-TenantAllowBlockListItems -ListType IP -Block -Entries "2001:db8:3333:4444:5555:6666:7777:8882" -NoExpiration

如需詳細的語法和參數資訊,請參閱 New-TenantAllowBlockListItems

使用 Microsoft Defender 入口網站來檢視租用戶允許/封鎖清單中 IPv6 位址的專案

在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 [規則] 區段中的 [原則 & 規則>]>[威脅原則租使用者允許/封鎖 清單]。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList

選取 [IP 位址] 索引標籤

在 [ IP 位址] 索引 標籤上,您可以按下可用的數據行標頭來排序專案。 下列資料列可供使用:

  • :IP 位址。
  • 動作:可用的值為 AllowBlock
  • 修改者
  • 上次更新
  • 上次使用日期:上次在篩選系統中使用專案來覆寫決策的日期。
  • 拿掉日期:到期日。
  • 附註

若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟的 [ 篩選 ] 飛出視窗中使用:

  • 動作:可用的值為 AllowBlock
  • 永不過期
  • 上次更新時間:選取 [從] 和 [到日期]。
  • 上次使用的日期:選取 [從] 和 [到日期]。
  • 拿掉於:選取 [從] 和 [到日期]。

當您在 [ 篩選 ] 飛出視窗中完成時,請選取 [ 套用]。 若要清除篩選,請選[清除篩選]

使用 [ 搜尋] 方塊和對應的值來尋找特定專案。

若要將專案分組,請選取 [ 群組 ],然後選取 [ 動作]。 若要取消專案群組,請選取 [ 無]

使用 PowerShell 檢視租使用者允許/封鎖清單中 IPv6 位址的專案

Exchange Online PowerShell 中,使用下列語法:

Get-TenantAllowBlockListItems -ListType IP [-Allow] [-Block] [-Entry <IPaddress>] [<-ExpirationDate Date | -NoExpiration>]

此範例會傳回所有允許和封鎖的IP位址。

Get-TenantAllowBlockListItems -ListType IP

此範例會傳回指定IP地址的資訊。

Get-TenantAllowBlockListItems -ListType IP -Entry "2001:db8:3333:4444:5555:6666:7777:8882"

此範例會依封鎖的IP位址來篩選結果。

Get-TenantAllowBlockListItems -ListType IP -Block

如需詳細的語法和參數資訊,請參閱 Get-TenantAllowBlockListItems

使用 Microsoft Defender 入口網站來修改租使用者允許/封鎖清單中 IPv6 位址的專案

對於現有的IP位址專案,您可以變更到期日和附注。

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至 [租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList

  2. 選取 [IP 位址] 索引標籤

  3. 在 [ IP 位址] 索引 標籤上,選取第一個數據行旁邊的複選框,從清單中選取專案,然後選取出現的 [編輯 ] 動作。

  4. 在開啟的 [編輯 IP 位址 ] 飛出視窗中,可以使用下列設定:

    • 封鎖專案
      • 拿掉區塊項目之後:從下列值中選取:
        • 1 天
        • 7 天
        • 30 天
        • 永不過期
        • 特定日期:最大值為從今天起的90天。
      • 選擇性附注
    • 允許專案
      • 移除[允許輸入]:從下列值中選取:
        • 1 天
        • 7 天
        • 30 天
        • 永不過期
        • 特定日期:最大值為從今天起的 30 天。
      • 選擇性附注

    當您在 [ 編輯 IP 位址 ] 飛出視窗中完成時,請選取 [ 儲存]

使用 PowerShell 修改租使用者允許/封鎖清單中 IPv6 位址的現有允許或封鎖專案

Exchange Online PowerShell 中,使用下列語法:

Set-TenantAllowBlockListItems -ListType IP <-Ids <Identity value> | -Entries <Value> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

此範例會變更指定IP位址區塊專案的到期日。

Set-TenantAllowBlockListItems -ListType IP -Entries "2001:db8:3333:4444:5555:6666:7777:8882" -ExpirationDate "9/1/2024"

如需詳細的語法和參數資訊,請參閱 Set-TenantAllowBlockListItems

使用 Microsoft Defender 入口網站從租用戶允許/封鎖清單中移除 IPv6 位址的專案

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至 [租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList

  2. 選取 [IP 位址] 索引標籤

  3. 在 [ IP 位址] 索引標籤 上,執行下列其中一個步驟:

    • 選取第一個數據行旁邊的複選框,然後選取出現的 [刪除 ] 動作,以從清單中選取專案。

    • 按兩下複選框以外的數據列中的任何位置,從清單中選取專案。 在開啟的詳細數據飛出視窗中,選取飛出視窗頂端的 [刪除]。

      提示

      若要查看其他項目的詳細數據而不離開詳細數據飛出視窗,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。

  4. 在開啟的警告對話框中,選取 [ 刪除]

回到 [IP 位址] 索引 標籤,專案已不再列出。

提示

您可以選取每個複選框來選取多個專案,或選取 [值 ] 資料行標頭旁邊的複選框來選取所有專案。

使用 PowerShell 從租使用者允許/封鎖清單中移除 IPv6 位址的專案

Exchange Online PowerShell 中,使用下列語法:

Remove-TenantAllowBlockListItems -ListType IP <-Ids <Identity value> | -Entries <Value>>

本範例會從租使用者允許/封鎖清單中移除指定的IP位址區塊。

Remove-TenantAllowBlockListItems -ListType IP -Entries "2001:db8:3333:4444:5555:6666:7777:8882"

如需詳細的語法和參數資訊,請參閱 Remove-TenantAllowBlockListItems