使用租用戶允許/封鎖清單來允許或封鎖 IPv6 位址
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用版條款。
在Microsoft 365 個組織中,Exchange Online 或獨立 Exchange Online Protection (EOP) 組織沒有 Exchange Online 信箱,系統管理員可以在租使用者允許/封鎖清單中建立和管理 IPv6 位址的專案。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊。
本文說明系統管理員如何在 Microsoft Defender 入口網站和 Exchange Online PowerShell 中管理 IPv6 位址的專案。
開始之前有哪些須知?
您會在 開啟 Microsoft Defender 入口網站https://security.microsoft.com。 若要直接移至租使用者允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。 若要直接移 至提交頁面 ,請使用 https://security.microsoft.com/reportsubmission。
若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。 若要連接至獨立版 EOP PowerShell,請參閱連線到 Exchange Online Protection PowerShell。
IPv6 位址僅支援下列格式:
- 冒號十六進位格式的單一位址。 例如,2001:0db8:85a3:0000:0000:8a2e:0370:7334。
- 零壓縮格式的單一位址。 例如,2001:db8::1 代表 2001:0db8:0000:0000:0000:0000:0001。
- CIDR IPv6 範圍。 例如,2001:0db8::/32。 支援 1-128 範圍。
IP 位址的輸入限制:
- Exchange Online Protection:允許專案的最大數目為 500,而封鎖專案的最大數目為 500 (總) 1000 個 IP 專案。
- 適用於 Office 365 的 Defender 方案 1:允許專案的最大數目為 1000,而封鎖專案的最大數目為 1000 (總) 2000 個 IP 專案。
- 適用於 Office 365 的 Defender 方案 2:允許專案的最大數目為 5000,而封鎖專案的最大數目為 10000, (總計為 15000 個 IP 專案) 。
項目應該會在 5 分鐘內作用中。
您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:
Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) (如果 Email & 共同作業>Exchange Online 許可權許可權為作用中。只會影響 Defender 入口網站,而不會影響 PowerShell) :授權和設定/安全性設定/偵測調整 (管理) 或 (讀取) 的授權和設定/安全性設定/核心安全性設定。
-
-
從租使用者允許/封鎖清單新增和移除專案:下列其中一個角色群組的成員資格:
- 組織管理 或 安全性系統管理員 (安全性系統管理員角色) 。
- 安全性操作員 (租使用者 AllowBlockList Manager 角色) :只有在直接在 Exchange 系統管理中心的https://admin.exchange.microsoft.com> [角色>管理員 角色] 中指派此許可權時,此許可權才能運作。
-
租使用者允許/封鎖清單的只讀存取權:下列其中一個角色群組中的成員資格:
- 全域讀取者
- 安全性讀取者
- 僅限檢視組態
- View-Only Organization Management
-
從租使用者允許/封鎖清單新增和移除專案:下列其中一個角色群組的成員資格:
Microsoft Entra 權限:全域管理員、安全性系統管理員*、全域讀取者或安全性讀取者角色的成員資格,可為使用者提供Microsoft 365 中其他功能的必要許可權和許可權。
重要事項
* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
建立 IPv6 位址的允許專案
允許專案只會覆寫指定之傳送IP位址的IP篩選器。
您可以直接在租使用者允許/封鎖清單中建立 IPv6 位址的允許專案,如本節所述。
使用 Microsoft Defender 入口網站在租用戶允許/封鎖清單中建立 IPv6 位址的允許專案
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
在 [租用戶允許/封鎖 清單] 頁面上,選取 [IP 位址] 索引標籤。
在 [ IP 位址] 索引標籤 上,選取 [ 允許]。
在開啟的 [ 允許 IP 位址 ] 飛出視窗中,設定下列設定:
新增IP位址:每行輸入一個IP位址,最多20個。
移除[允許輸入]:從下列值中選取:
- 1 天
- 7 天
- 30 天
- 默認) (永遠不會過期
- 特定日期:最大值為從今天起的90天。
選擇性注意事項:輸入您為何允許IP位址的描述性文字。
當您在 [ 允許 IP 位址 ] 飛出視窗中完成時,請選取 [ 新增]。
回到 [IP 位址] 索引 標籤上,會列出專案。
使用 PowerShell 在租使用者允許/封鎖清單中建立 IPv6 位址的允許專案
在 Exchange Online PowerShell 中,使用下列語法:
New-TenantAllowBlockListItems -ListType IP -Allow -Entries "IPAddress1","IPAddress2",..."IPAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]
本範例會為從未過期的指定IP位址新增允許專案。
New-TenantAllowBlockListItems -ListType IP -Allow -Entries "2001:db8:3333:4444:5555:6666:7777:8882" -NoExpiration
如需詳細的語法和參數資訊,請參閱 New-TenantAllowBlockListItems。
建立 IPv6 位址的區塊專案
您可以直接在租使用者允許/封鎖清單中建立 IPv6 位址的區塊專案,如本節所述。
來自封鎖專案中 IPv6 位址的內送電子郵件訊息會在服務邊緣遭到封鎖。
使用 Microsoft Defender 入口網站在租用戶允許/封鎖清單中建立 IPv6 位址的封鎖專案
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
在 [租用戶允許/封鎖 清單] 頁面上,選取 [IP 位址] 索引標籤。
在 [ IP 位址] 索引標籤 上,選取 [ 封鎖]。
在開啟的 [封鎖 IP 位址 ] 飛出視窗中,設定下列設定:
新增IP位址:每行輸入一個IP位址,最多20個。
拿掉區塊項目之後:從下列值中選取:
- 1 天
- 7 天
- 30 天
- 默認) (永遠不會過期
- 特定日期:最大值為從今天起的90天。
選擇性注意事項:輸入封鎖IP位址原因的描述性文字。
當您在 [ 封鎖 IP 位址 ] 飛出視窗中完成時,請選取 [ 新增]。
回到 [IP 位址] 索引 標籤上,會列出專案。
使用 PowerShell 在租使用者允許/封鎖清單中建立 IPv6 位址的封鎖專案
在 Exchange Online PowerShell 中,使用下列語法:
New-TenantAllowBlockListItems -ListType IP -Block -Entries "IPAddress1","IPAddress2",..."IPAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]
本範例會為從未過期的指定IP位址新增區塊專案。
New-TenantAllowBlockListItems -ListType IP -Block -Entries "2001:db8:3333:4444:5555:6666:7777:8882" -NoExpiration
如需詳細的語法和參數資訊,請參閱 New-TenantAllowBlockListItems。
使用 Microsoft Defender 入口網站來檢視租用戶允許/封鎖清單中 IPv6 位址的專案
在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 [規則] 區段中的 [原則 & 規則>]>[威脅原則租使用者允許/封鎖 清單]。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
選取 [IP 位址] 索引標籤 。
在 [ IP 位址] 索引 標籤上,您可以按下可用的數據行標頭來排序專案。 下列資料列可供使用:
- 值:IP 位址。
- 動作:可用的值為 Allow 或 Block。
- 修改者
- 上次更新
- 上次使用日期:上次在篩選系統中使用專案來覆寫決策的日期。
- 拿掉日期:到期日。
- 附註
若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟的 [ 篩選 ] 飛出視窗中使用:
- 動作:可用的值為 Allow 和 Block。
- 永不過期: 或
- 上次更新時間:選取 [從] 和 [到日期]。
- 上次使用的日期:選取 [從] 和 [到日期]。
- 拿掉於:選取 [從] 和 [到日期]。
當您在 [ 篩選 ] 飛出視窗中完成時,請選取 [ 套用]。 若要清除篩選,請選取 [清除篩選]。
使用 [ 搜尋] 方塊和對應的值來尋找特定專案。
若要將專案分組,請選取 [ 群組 ],然後選取 [ 動作]。 若要取消專案群組,請選取 [ 無]。
使用 PowerShell 檢視租使用者允許/封鎖清單中 IPv6 位址的專案
在 Exchange Online PowerShell 中,使用下列語法:
Get-TenantAllowBlockListItems -ListType IP [-Allow] [-Block] [-Entry <IPaddress>] [<-ExpirationDate Date | -NoExpiration>]
此範例會傳回所有允許和封鎖的IP位址。
Get-TenantAllowBlockListItems -ListType IP
此範例會傳回指定IP地址的資訊。
Get-TenantAllowBlockListItems -ListType IP -Entry "2001:db8:3333:4444:5555:6666:7777:8882"
此範例會依封鎖的IP位址來篩選結果。
Get-TenantAllowBlockListItems -ListType IP -Block
如需詳細的語法和參數資訊,請參閱 Get-TenantAllowBlockListItems。
使用 Microsoft Defender 入口網站來修改租使用者允許/封鎖清單中 IPv6 位址的專案
對於現有的IP位址專案,您可以變更到期日和附注。
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至 [租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
選取 [IP 位址] 索引標籤
在 [ IP 位址] 索引 標籤上,選取第一個數據行旁邊的複選框,從清單中選取專案,然後選取出現的 [編輯 ] 動作。
在開啟的 [編輯 IP 位址 ] 飛出視窗中,可以使用下列設定:
-
封鎖專案:
-
拿掉區塊項目之後:從下列值中選取:
- 1 天
- 7 天
- 30 天
- 永不過期
- 特定日期:最大值為從今天起的90天。
- 選擇性附注
-
拿掉區塊項目之後:從下列值中選取:
-
允許專案:
-
移除[允許輸入]:從下列值中選取:
- 1 天
- 7 天
- 30 天
- 永不過期
- 特定日期:最大值為從今天起的 30 天。
- 選擇性附注
-
移除[允許輸入]:從下列值中選取:
當您在 [ 編輯 IP 位址 ] 飛出視窗中完成時,請選取 [ 儲存]。
-
封鎖專案:
使用 PowerShell 修改租使用者允許/封鎖清單中 IPv6 位址的現有允許或封鎖專案
在 Exchange Online PowerShell 中,使用下列語法:
Set-TenantAllowBlockListItems -ListType IP <-Ids <Identity value> | -Entries <Value> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
此範例會變更指定IP位址區塊專案的到期日。
Set-TenantAllowBlockListItems -ListType IP -Entries "2001:db8:3333:4444:5555:6666:7777:8882" -ExpirationDate "9/1/2024"
如需詳細的語法和參數資訊,請參閱 Set-TenantAllowBlockListItems。
使用 Microsoft Defender 入口網站從租用戶允許/封鎖清單中移除 IPv6 位址的專案
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至 [租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
選取 [IP 位址] 索引標籤 。
在 [ IP 位址] 索引標籤 上,執行下列其中一個步驟:
選取第一個數據行旁邊的複選框,然後選取出現的 [刪除 ] 動作,以從清單中選取專案。
按兩下複選框以外的數據列中的任何位置,從清單中選取專案。 在開啟的詳細數據飛出視窗中,選取飛出視窗頂端的 [刪除]。
提示
若要查看其他項目的詳細數據而不離開詳細數據飛出視窗,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。
在開啟的警告對話框中,選取 [ 刪除]。
回到 [IP 位址] 索引 標籤,專案已不再列出。
提示
您可以選取每個複選框來選取多個專案,或選取 [值 ] 資料行標頭旁邊的複選框來選取所有專案。
使用 PowerShell 從租使用者允許/封鎖清單中移除 IPv6 位址的專案
在 Exchange Online PowerShell 中,使用下列語法:
Remove-TenantAllowBlockListItems -ListType IP <-Ids <Identity value> | -Entries <Value>>
本範例會從租使用者允許/封鎖清單中移除指定的IP位址區塊。
Remove-TenantAllowBlockListItems -ListType IP -Entries "2001:db8:3333:4444:5555:6666:7777:8882"
如需詳細的語法和參數資訊,請參閱 Remove-TenantAllowBlockListItems。