Gérer les autorises et les blocs dans la liste verte/bloquée des locataires

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.

Importante

Pour autoriser les URL de hameçonnage qui font partie de la formation de simulation d’attaque tierce, utilisez la configuration de remise avancée pour spécifier les URL. N’utilisez pas la liste verte/bloquée du locataire.

Dans les organisations Microsoft 365 avec des boîtes aux lettres dans Exchange Online ou des organisations Exchange Online Protection autonomes (EOP) sans boîtes aux lettres Exchange Online, vous pouvez être en désaccord avec l’EOP ou Microsoft Defender pour Office 365 verdict de filtrage. Par exemple, un bon message peut être marqué comme mauvais (faux positif) ou un message incorrect peut être autorisé (faux négatif).

La liste verte/bloquée des locataires dans le portail Microsoft Defender vous permet de remplacer manuellement les verdicts de filtrage Defender for Office 365 ou EOP. La liste est utilisée pendant le flux de courrier ou l’heure de clic pour les messages entrants provenant d’expéditeurs externes.

Les entrées pour les domaines et les adresses de messagerie et les expéditeurs usurpés s’appliquent aux messages internes envoyés dans le organization. Les entrées de blocage pour les domaines et les adresses de messagerie empêchent également les utilisateurs du organization d’envoyer des e-mails à ces domaines et adresses bloqués.

La liste Des locataires autorisés/bloqués est disponible dans le portail Microsoft Defender dans https://security.microsoft.comEmail & section>Stratégies decollaboration > & règles >stratégies de> menaceRèglesd’autorisation/de blocage du locataire Listes. Ou, pour accéder directement à la page Autoriser/Bloquer le locataire Listes, utilisez https://security.microsoft.com/tenantAllowBlockList.

Pour obtenir des instructions d’utilisation et de configuration, consultez les articles suivants :

Ces articles contiennent des procédures dans le portail Microsoft Defender et dans PowerShell.

Bloquer les entrées dans la liste verte/bloquée du locataire

Conseil

Dans la liste verte/bloquée du locataire, les entrées de bloc sont prioritaires sur les entrées d’autorisation.

Utilisez la page Soumissions (également appelée soumission d’administrateur) sur https://security.microsoft.com/reportsubmission pour créer des entrées de bloc pour les types d’éléments suivants lorsque vous les envoyez en tant que faux négatifs à Microsoft :

  • Domaines et adresses e-mail :

    • Email messages de ces expéditeurs sont marqués comme hameçonnage à haut niveau de confiance, puis placés en quarantaine.
    • Les utilisateurs du organization ne peuvent pas envoyer de courrier électronique à ces domaines et adresses bloqués. Ils reçoivent le rapport de non-remise suivant (également appelé notification d’échec de remise ou message de rebond) : 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. l’intégralité du message est bloquée pour tous les destinataires internes et externes du message, même si une seule adresse e-mail ou domaine de destinataire est défini dans une entrée de bloc.

    Conseil

    Pour bloquer uniquement le courrier indésirable d’un expéditeur spécifique, ajoutez l’adresse e-mail ou le domaine à la liste de blocage dans les stratégies anti-courrier indésirable. Pour bloquer tous les e-mails de l’expéditeur, utilisez Domaines et adresses e-mail dans la liste verte/bloquée du locataire.

  • Fichiers : les messages Email qui contiennent ces fichiers bloqués sont bloqués en tant que programmes malveillants. Les messages contenant les fichiers bloqués sont mis en quarantaine.

  • URL : les messages Email qui contiennent ces URL bloquées sont bloqués en tant qu’hameçonnage à haut niveau de confiance. Les messages contenant les URL bloquées sont mis en quarantaine.

Dans la liste verte/bloquée du locataire, vous pouvez également créer directement des entrées de bloc pour les types d’éléments suivants :

  • Domaines et adresses e-mail, fichiers et URL.

  • Expéditeurs usurpés : si vous remplacez manuellement un verdict d’autorisation existant à partir de l’intelligence contre l’usurpation d’identité, l’expéditeur usurpé bloqué devient une entrée de bloc manuelle qui apparaît uniquement sous l’onglet Expéditeurs usurpés dans la liste verte/bloquée du locataire.

  • Adresses IP : si vous créez manuellement une entrée de blocage, tous les messages électroniques entrants de cette adresse IP sont supprimés en périphérie du service.

Par défaut, les entrées de blocage pour les domaines et les adresses de messagerie, les fichiers et les URL expirent au bout de 30 jours, mais vous pouvez les définir pour qu’elles expirent jusqu’à 90 jours ou pour ne jamais expirer.

Les entrées de blocage pour les expéditeurs usurpés et les adresses IP n’expirent jamais.

Autoriser les entrées dans la liste verte/bloquée du locataire

Dans la plupart des cas, vous ne pouvez pas créer directement des entrées d’autorisation dans la liste verte/bloquée du locataire. Les entrées d’autorisation inutiles exposent vos organization à des e-mails malveillants qui auraient pu être filtrés par le système.

  • Domaines et adresses e-mail, fichiers et URL : vous ne pouvez pas créer d’entrées d’autorisation directement dans la liste verte/bloquée du locataire. Au lieu de cela, vous utilisez la page Soumissions à l’adresse https://security.microsoft.com/reportsubmission pour envoyer l’e-mail, la pièce jointe ou l’URL à Microsoft. Une fois que vous avez sélectionné J’ai confirmé qu’il est propre, vous pouvez sélectionner Autoriser ce message, Autoriser ce fichier ou Autoriser cette URL pour créer une entrée d’autorisation pour les domaines et les adresses de messagerie, les fichiers ou les URL.

  • Expéditeurs usurpés :

  • Adresses IP : vous pouvez créer de manière proactive une entrée d’autorisation pour une adresse IP sous l’onglet Adresses IP de la liste verte/bloquée du locataire afin de remplacer les filtres IP pour les messages entrants.

La liste suivante décrit ce qui se passe dans la liste verte/bloquée des locataires lorsque vous envoyez un élément à Microsoft en tant que faux positif sur la page Soumissions :

  • Email pièces jointes et URL : une entrée d’autorisation est créée et l’entrée s’affiche sous l’onglet Fichiers ou URL de la liste verte/bloquée du locataire, respectivement.

    Pour les URL signalées comme faux positifs, nous autorisons les messages suivants qui contiennent des variantes de l’URL d’origine. Par exemple, vous utilisez la page Soumissions pour signaler l’URL www.contoso.com/abcincorrectement bloquée. Si votre organization reçoit ultérieurement un message qui contient l’URL (par exemple, mais sans s’y limiter : www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5ou www.contoso.com/abc/whatever), le message n’est pas bloqué en fonction de l’URL. En d’autres termes, vous n’avez pas besoin de signaler plusieurs variantes de la même URL à Microsoft.

  • Email : si un message a été bloqué par la pile de filtrage EOP ou Defender for Office 365, une entrée d’autorisation peut être créée dans la liste verte/bloquée du locataire :

    • Si le message a été bloqué par l’intelligence contre l’usurpation d’identité, une entrée d’autorisation pour l’expéditeur est créée et l’entrée apparaît sous l’onglet Expéditeurs usurpés dans la liste verte/bloquée du locataire.
    • Si le message a été bloqué par la protection contre l’emprunt d’identité de l’utilisateur (ou du graphique) dans Defender for Office 365, une entrée d’autorisation n’est pas créée dans la liste verte/bloquée du locataire. Au lieu de cela, le domaine ou l’expéditeur est ajouté à la section Expéditeurs et domaines approuvés dans la stratégie anti-hameçonnage qui a détecté le message.
    • Si le message a été bloqué en raison de filtres basés sur des fichiers, une entrée d’autorisation pour le fichier est créée et l’entrée s’affiche sous l’onglet Fichiers de la liste verte/bloquée du locataire.
    • Si le message a été bloqué en raison de filtres basés sur une URL, une entrée d’autorisation pour l’URL est créée et l’entrée apparaît sous l’onglet URL dans la liste verte/bloquée du locataire.
    • Si le message a été bloqué pour une autre raison, une entrée d’autorisation pour l’adresse e-mail ou le domaine de l’expéditeur est créée et l’entrée s’affiche sous l’onglet Domaines & adresses dans la liste verte/bloquée du locataire.
    • Si le message n’a pas été bloqué en raison d’un filtrage, aucune entrée d’autorisation n’est créée n’importe où.

Conseil

Les entrées d’autorisation des soumissions sont ajoutées pendant le flux de messagerie en fonction des filtres qui ont déterminé que le message était malveillant. Par exemple, si l’adresse e-mail de l’expéditeur et une URL dans le message sont jugées malveillantes, une entrée d’autorisation est créée pour l’expéditeur (adresse e-mail ou domaine) et l’URL.

Pendant le flux de courrier ou l’heure du clic, si les messages contenant les entités dans les entrées d’autorisation passent d’autres vérifications dans la pile de filtrage, les messages sont remis (tous les filtres associés aux entités autorisées sont ignorés). Par exemple, si un message réussit les vérifications d’authentification, le filtrage d’URL et le filtrage des fichiers, un message provenant d’une adresse e-mail de l’expéditeur autorisé est remis s’il provient également d’un expéditeur autorisé.

Par défaut, les entrées autorisées pour les domaines et les adresses de messagerie, les fichiers et les URL sont conservées pendant 45 jours après que le système de filtrage a déterminé que l’entité est propre, puis l’entrée d’autorisation a été supprimée. Vous pouvez également définir autoriser les entrées à expirer jusqu’à 30 jours après leur création. Autoriser les entrées pour les expéditeurs usurpés n’expirent jamais .

À quoi s’attendre après avoir ajouté une entrée autoriser ou bloquer

Une fois que vous avez ajouté une entrée d’autorisation dans la page Soumissions ou une entrée de bloc dans la liste verte/bloquée du locataire, l’entrée doit commencer à fonctionner immédiatement (dans les 5 minutes).

Si Microsoft a appris de l’entrée autoriser, la stratégie d’alerte intégrée nommée Suppression d’une entrée dans la liste verte/bloquée du locataire génère une alerte lorsque l’entrée d’autorisation (désormais inutile) est supprimée.