使用租用戶允許/封鎖清單允許或封鎖 URL
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
在Microsoft 365 個組織中,Exchange Online 或獨立 Exchange Online Protection (EOP) 組織沒有 Exchange Online 信箱,系統管理員可以在租用戶允許/封鎖清單中建立和管理 URL 的專案。 如需租使用者允許/封鎖清單的詳細資訊,請 參閱管理租使用者允許/封鎖清單中的允許和區塊。
注意事項
若要允許來自第三方網路釣魚仿真的網路釣魚 URL,請使用進階 傳遞組態 來指定 URL。 請勿使用租用戶允許/封鎖清單。
本文說明系統管理員如何在 Microsoft Defender 入口網站和 Exchange Online PowerShell 中管理 URL 的專案。
開始之前有哪些須知?
您會在 開啟 Microsoft Defender 入口網站。https://security.microsoft.com 若要直接移至 [ 租使用者允許/封鎖清單 ] 頁面, 請使用 https://security.microsoft.com/tenantAllowBlockList。 若要直接移 至提交頁面 ,請使用 https://security.microsoft.com/reportsubmission。
若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。 若要連接至獨立版 EOP PowerShell,請參閱連線到 Exchange Online Protection PowerShell。
如需 URL 專案語法,請參閱本文稍後 的租使用者允許/封鎖清單一節的 URL 語法 。
-
- URL 的專案限制:
- Exchange Online Protection:允許專案的最大數目為 500,而封鎖專案的最大數目為 500 (總) 1000 個 URL 專案。
- 適用於 Office 365 的 Defender 方案 1:允許專案的最大數目為 1000,而封鎖專案的最大數目為 1000 (總) 2000 個 URL 專案。
- 適用於 Office 365 的 Defender 方案 2:允許專案的最大數目為 5000,而封鎖專案的最大數目為 10000 (總) 15000 個 URL 專案。
您可以在 URL 項目中輸入最多 250 個字元。
項目應該會在 5 分鐘內作用中。
您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:
Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) ( 如果 Email & 共同作業>適用於 Office 365 的 Defender 許可權為作用中。只會影響 Defender 入口網站,而不會影響 PowerShell) :
-
從租使用者允許/封鎖清單中新增和移除專案:以下列許可權指派的成員資格:
- 授權和設定/安全性設定/偵測微調 (管理)
-
租使用者允許/封鎖清單的唯讀存取權:
- 授權和設定/安全性設定/只讀。
- 授權和設定/安全性設定/核心安全性設定 (讀取) 。
-
從租使用者允許/封鎖清單中新增和移除專案:以下列許可權指派的成員資格:
-
-
從租使用者允許/封鎖清單新增和移除專案:下列其中一個角色群組的成員資格:
- 組織管理 或 安全性系統管理員 (安全性系統管理員角色) 。
- 安全性操作員 (租使用者 AllowBlockList Manager 角色) :此許可權只有在直接在 Exchange 系統管理中心的https://admin.exchange.microsoft.com>> Roles 管理員 Roles 中指派時才能運作。
-
租使用者允許/封鎖清單的只讀存取權:下列其中一個角色群組中的成員資格:
- 全域讀取者
- 安全性讀取者
- 僅限檢視組態
- View-Only Organization Management
-
從租使用者允許/封鎖清單新增和移除專案:下列其中一個角色群組的成員資格:
Microsoft Entra 權限:全域管理員、安全性系統管理員*、全域讀取者或安全性讀取者角色的成員資格,可為使用者提供Microsoft 365 中其他功能的必要許可權和許可權。
重要事項
* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
建立 URL 的允許專案
您無法直接在租使用者允許/封鎖清單中建立URL的允許專案。 不必要的允許專案會向系統篩選的惡意電子郵件公開您的組織。
相反地,您會在 的 [提交] 頁面https://security.microsoft.com/reportsubmission?viewid=url上使用 [URL] 索引標籤。 當您提交封鎖的 URL,因為我已確認它乾淨時,您可以在 [租使用者允許/封鎖 清單] 頁面的 [URL] 索引卷標上,選取 [允許此 URL 新增並允許輸入 URL]。 如需指示,請 參閱回報良好的 URL 以Microsoft。
提示
在郵件流程期間,會根據判斷郵件為惡意的篩選條件,新增來自提交專案的允許專案。 例如,如果寄件者電子郵件地址和郵件中的URL判斷為惡意,則會針對發件者建立允許專案, (電子郵件位址或網域) 和URL。
在郵件流程或點選期間,如果包含允許專案中實體的訊息在篩選堆疊中通過其他檢查,則會傳遞訊息 (略過與允許實體相關聯的所有篩選) 。 例如,如果郵件通過 電子郵件驗證檢查、URL 篩選和檔案篩選,則如果郵件也是來自允許的寄件者,則會傳遞來自允許寄件者電子郵件地址的郵件。
根據預設,在篩選系統判斷實體是乾淨的,然後移除允許項目之後,網 域和電子郵件地址、 檔案和 URL 的允許專案會保留45天。 或者,您可以將允許項目設定為在建立專案后最多 30 天到期。 允許 詐騙寄件人的 專案永不過期。
在單擊期間,URL 允許輸入會覆寫與 URL 實體相關聯的所有篩選,讓用戶能夠存取 URL。
URL 允許專案不會防止安全鏈接保護在 適用於 Office 365 的 Defender 中包裝URL。 如需詳細資訊, 請參閱不要在SafeLinks中重寫清單。
建立 URL 的區塊專案
Email 包含這些封鎖 URL 的訊息會被封鎖為高信賴度網路釣魚。 包含封鎖 URL 的訊息會遭到隔離。
若要建立 URL 的區塊專案,請使用下列其中一種方法:
您有下列選項可建立網址的區塊專案:
從[提交] 頁面上的 [URL] 索引標籤,位於 https://security.microsoft.com/reportsubmission?viewid=url。 當您在確認這是威脅時提交訊息時,您可以選取 [封鎖此 URL],將封鎖專案新增至 [租使用者允許/封鎖] 清單 頁面上的 [URL] 索引卷標。 如需指示,請 參閱向Microsoft報告有問題的URL。
從 [租使用者允許/封鎖 清單] 頁面或 PowerShell 中的 [URL] 索引標籤,如本節所述。
使用 Microsoft Defender 入口網站在租用戶允許/封鎖清單中建立URL的封鎖專案
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至 [租用戶允許/封鎖清單] 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
在 [ 租用戶允許/封鎖清單] 頁面上,選取 [ URL] 索引標籤 。
在 [ URL] 索引標籤 上,選取 [ 封鎖]。
在開啟的 [封鎖 URL] 飛出視窗中,設定下列設定:
新增具有通配符的 URL:每行輸入一個 URL,最多 20 個。 如需 URL 專案的語法詳細資訊,請參閱本文稍後 的租用戶允許/封鎖清單一節的 URL 語法 。
拿掉區塊項目之後:從下列值中選取:
- 永不過期
- 1 天
- 7 天
- 默認) (30 天
- 特定日期:最大值為從今天起的90天。
選擇性注意事項:輸入封鎖 URL 原因的描述性文字。
當您在 [ 封鎖 URL ] 飛出視窗中完成時,請選取 [ 新增]。
回到 [ URL] 索引標籤 上,會列出專案。
使用 PowerShell 在租使用者允許/封鎖清單中建立 URL 的封鎖專案
在 Exchange Online PowerShell 中,使用下列語法:
New-TenantAllowBlockListItems -ListType Url -Block -Entries "Value1","Value2",..."ValueN" <-ExpirationDate <Date> | -NoExpiration> [-Notes <String>]
本範例會新增 URL contoso.com 的區塊專案,以及所有子域 (例如,contoso.com 和 xyz.abc.contoso.com) 。 因為我們未使用 ExpirationDate 或 NoExpiration 參數,所以專案會在 30 天后過期。
New-TenantAllowBlockListItems -ListType Url -Block -Entries *contoso.com
如需詳細的語法和參數資訊,請參閱 New-TenantAllowBlockListItems。
使用 Microsoft Defender 入口網站來檢視租用戶允許/封鎖清單中URL的專案
在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 [規則] 區段中的 [原則 & 規則>]>[威脅原則租使用者允許/封鎖 清單]。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
選取 [ URL] 索引標籤 。
在 [ URL] 索 引標籤上,您可以按下可用的數據行標頭來排序專案。 下列資料列可供使用:
- 值:URL。
- 動作:可用的值為 Allow 或 Block。
- 修改者
- 上次更新
- 上次使用日期:上次在篩選系統中使用專案來覆寫決策的日期。
- 拿掉日期:到期日。
- 附註
若要篩選專案,請選取 [ 篩選]。 下列篩選條件可在開啟的 [ 篩選 ] 飛出視窗中使用:
- 動作:可用的值為 Allow 和 Block。
- 永不過期: 或
- 上次更新時間:選取 [從] 和 [到日期]。
- 上次使用的日期:選取 [從] 和 [到日期]。
- 拿掉於:選取 [從] 和 [到日期]。
當您在 [ 篩選 ] 飛出視窗中完成時,請選取 [ 套用]。 若要清除篩選,請選取 [清除篩選]。
使用 [ 搜尋] 方塊和對應的值來尋找特定專案。
若要將專案分組,請選取 [ 群組 ],然後選取 [ 動作]。 若要取消專案群組,請選取 [ 無]。
使用 PowerShell 檢視租使用者允許/封鎖清單中 URL 的專案
在 Exchange Online PowerShell 中,使用下列語法:
Get-TenantAllowBlockListItems -ListType Url [-Allow] [-Block] [-Entry <URLValue>] [<-ExpirationDate <Date> | -NoExpiration>]
此範例會傳回所有允許和封鎖的URL。
Get-TenantAllowBlockListItems -ListType Url
此範例會依封鎖的 URL 篩選結果。
Get-TenantAllowBlockListItems -ListType Url -Block
如需詳細的語法和參數資訊,請參閱 Get-TenantAllowBlockListItems。
使用 Microsoft Defender 入口網站修改租使用者允許/封鎖清單中URL的專案
在現有的 URL 專案中,您可以變更到期日和附注。
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至租用戶允許/封鎖 清單 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
選取 [URL] 索引標籤
在 [ URL] 索 引標籤上,選取第一個數據行旁邊的複選框,從清單中選取專案,然後選取出現的 [編輯 ] 動作。
在開啟的 [編輯 URL ] 飛出視窗中,可以使用下列設定:
-
封鎖專案:
-
拿掉區塊項目之後:從下列值中選取:
- 1 天
- 7 天
- 30 天
- 永不過期
- 特定日期:最大值為從今天起的90天。
- 選擇性附注
-
拿掉區塊項目之後:從下列值中選取:
-
允許專案:
-
移除[允許輸入]:從下列值中選取:
- 1 天
- 7 天
- 30 天
- 上次使用日期后的 45 天
- 特定日期:最大值為從今天起的 30 天。
- 選擇性附注
-
移除[允許輸入]:從下列值中選取:
當您在 [ 編輯 URL ] 飛出視窗中完成時,請選取 [ 儲存]。
-
封鎖專案:
提示
在 [URL] 索引標籤上專案的詳細數據飛出視窗中,使用飛出視窗頂端的 [檢視提交],移至 [提交] 頁面上對應專案的詳細數據。 如果提交負責在租使用者允許/封鎖清單中建立專案,則可使用此動作。
使用 PowerShell 修改租使用者允許/封鎖清單中 URL 的專案
在 Exchange Online PowerShell 中,使用下列語法:
Set-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
此範例會變更指定 URL 之區塊專案的到期日。
Set-TenantAllowBlockListItems -ListType Url -Entries "~contoso.com" -ExpirationDate "9/1/2022"
如需詳細的語法和參數資訊,請參閱 Set-TenantAllowBlockListItems。
使用 Microsoft Defender 入口網站從租用戶允許/封鎖清單中移除URL的專案
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則威脅>原則規則>] 區段>租用戶允許/封鎖 清單。 或者,若要直接移至 [租用戶允許/封鎖清單] 頁面,請使用 https://security.microsoft.com/tenantAllowBlockList。
選取 [ URL] 索引標籤 。
在 [ URL] 索引標籤 上,執行下列其中一個步驟:
選取第一個數據行旁邊的複選框,然後選取出現的 [刪除 ] 動作,以從清單中選取專案。
按兩下複選框以外的數據列中的任何位置,從清單中選取專案。 在開啟的詳細數據飛出視窗中,選取飛出視窗頂端的 [刪除]。
提示
若要查看其他項目的詳細數據而不離開詳細數據飛出視窗,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。
在開啟的警告對話框中,選取 [ 刪除]。
回到 [ URL] 索引標籤 ,專案已不再列出。
提示
您可以選取每個複選框來選取多個專案,或選取 [值 ] 資料行標頭旁邊的複選框來選取所有專案。
使用 PowerShell 從租使用者允許/封鎖清單中移除 URL 的專案
在 Exchange Online PowerShell 中,使用下列語法:
Remove-TenantAllowBlockListItems -ListType Url <-Ids <Identity value> | -Entries <Value>>
本範例會從租使用者允許/封鎖清單中移除指定URL的區塊專案。
Remove-TenantAllowBlockListItems -ListType Url -Entries "*cohovineyard.com
如需詳細的語法和參數資訊,請參閱 Remove-TenantAllowBlockListItems。
租使用者允許/封鎖清單的URL語法
允許 IPv4 和 IPv6 位址,但不允許 TCP/UDP 埠。
例如,test.pdf) (不允許擴展名。
不支援 Unicode,但 Punycode 為 。
如果下列所有語句都成立,則允許主機名:
- 主機名包含句號。
- 期間的左邊至少有一個字元。
- 期間右邊至少有兩個字元。
例如,
t.co
是允許的;.com
或contoso.
不允許。子路徑不表示允許。
例如,
contoso.com
不包含contoso.com/a
。在下列案例中,允許使用通配符 (*) :
左側通配符後面必須加上句點,才能指定子域。 (僅適用於區塊)
例如,
*.contoso.com
是允許的;*contoso.com
不允許。右通配符必須遵循正斜線 (/) 才能指定路徑。
例如,
contoso.com/*
是允許的;contoso.com*
或contoso.com/ab*
不允許。*.com*
無效 (不是可解析的網域,且正確的通配符不會遵循正斜線) 。IP 位址中不允許使用通配符。
波狀符號 (~) 字元可在下列案例中使用:
左波狀符號表示網域和所有子域。
例如,
~contoso.com
包含contoso.com
與*.contoso.com
。
不支援或不需要使用者名稱或密碼。
引號 (' 或 「) 無效的字元。
URL 應該盡可能包含所有重新導向。
URL 輸入案例
下列小節說明有效的 URL 專案及其結果。
案例:最上層網域封鎖
專案: *.<TLD>/*
-
區塊比對:
- a.TLD
- TLD/abcd
- b.abcd.TLD
- TLD/contoso.com
- TLD/q=contoso.com
www.abcd.com\xyz.TLD
www.abcd.com\xyz.TLD?q=1234
www.abcd.TLD
www.abcd.TLD/q=a@contoso.com
案例:沒有通配符
專案: contoso.com
允許比對:contoso.com
允許不相符:
- abc-contoso.com
- contoso.com/a
- abc.xyz.contoso.com/a/b/c
- payroll.contoso.com
- test.com/contoso.com
- test.com/q=contoso.com
www.contoso.com
www.contoso.com/q=a@contoso.com
區塊比對:
- contoso.com
- contoso.com/a
- abc.xyz.contoso.com/a/b/c
- payroll.contoso.com
- test.com/contoso.com
- test.com/q=contoso.com
www.contoso.com
www.contoso.com/q=a@contoso.com
區塊不相符:abc-contoso.com
案例:左側通配符 (子域)
提示
只有進階 傳遞組態才支援此模式的允許專案。
專案: *.contoso.com
允許比對 和 封鎖比對:
www.contoso.com
- xyz.abc.contoso.com
[允許不相符] 和 [封鎖不相符]:
- 123contoso.com
- contoso.com
- test.com/contoso.com
www.contoso.com/abc
案例:路徑頂端的右通配符
專案: contoso.com/a/*
允許比對 和 封鎖比對:
- contoso.com/a/b
- contoso.com/a/b/c
- contoso.com/a/?q=joe@t.com
[允許不相符] 和 [封鎖不相符]:
- contoso.com
- contoso.com/a
www.contoso.com
www.contoso.com/q=a@contoso.com
案例:左波狀符號
提示
只有進階 傳遞組態才支援此模式的允許專案。
專案: ~contoso.com
允許比對 和 封鎖比對:
- contoso.com
www.contoso.com
- xyz.abc.contoso.com
[允許不相符] 和 [封鎖不相符]:
- 123contoso.com
- contoso.com/abc
www.contoso.com/abc
案例:正確的通配符後綴
專案: contoso.com/*
允許比對 和 封鎖比對:
- contoso.com/?q=whatever@fabrikam.com
- contoso.com/a
- contoso.com/a/b/c
- contoso.com/ab
- contoso.com/b
- contoso.com/b/a/c
- contoso.com/ba
允許不相符 和 封鎖不相符:contoso.com
案例:左通配符子域和右通配符後綴
提示
只有進階 傳遞組態才支援此模式的允許專案。
專案: *.contoso.com/*
允許比對 和 封鎖比對:
- abc.contoso.com/ab
- abc.xyz.contoso.com/a/b/c
www.contoso.com/a
www.contoso.com/b/a/c
- xyz.contoso.com/ba
允許不相符 和 封鎖不相符:contoso.com/b
案例:左右波狀符號
提示
只有進階 傳遞組態才支援此模式的允許專案。
專案: ~contoso.com~
允許比對 和 封鎖比對:
- contoso.com
- contoso.com/a
www.contoso.com
www.contoso.com/b
- xyz.abc.contoso.com
- abc.xyz.contoso.com/a/b/c
- contoso.com/b/a/c
- test.com/contoso.com
[允許不相符] 和 [封鎖不相符]:
- 123contoso.com
- contoso.org
- test.com/q=contoso.com
案例:IP 位址
專案: 1.2.3.4
允許比對 和 封鎖比對:1.2.3.4
[允許不相符] 和 [封鎖不相符]:
- 1.2.3.4/a
- 11.2.3.4/a
具有右通配符的IP位址
專案: 1.2.3.4/*
-
允許比對 和 封鎖比對:
- 1.2.3.4/b
- 1.2.3.4/baaaa
無效專案的範例
下列項目無效:
缺少或無效的定義域值:
- contoso
- *.contoso.*
- *.com
文字或不含間距字元的通配符:
- *contoso.com
- contoso.com*
- *1.2.3.4
- 1.2.3.4*
- contoso.com/a*
- contoso.com/ab*
具有埠的 IP 位址:
- contoso.com:443
- abc.contoso.com:25
非描述性通配符:
- *
- *.*
中間通配符:
- conto*so.com
- conto~so.com
雙通配符
- contoso.com/**
- contoso.com/*/*