Gestire le autorizzazioni e i blocchi nell'elenco tenant consentiti/bloccati

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

Importante

Per consentire gli URL di phishing che fanno parte del training di simulazione degli attacchi di terze parti, usare la configurazione di recapito avanzata per specificare gli URL. Non usare l'elenco tenant consentiti/bloccati.

Nelle organizzazioni di Microsoft 365 con cassette postali in organizzazioni Exchange Online o Exchange Online Protection autonome (EOP) senza cassette postali Exchange Online, è possibile che non si sia d'accordo con EOP o Microsoft Defender per Office 365 verdetto di filtro. Ad esempio, un messaggio valido potrebbe essere contrassegnato come non valido (un falso positivo) o un messaggio non valido potrebbe essere consentito tramite (un falso negativo).

L'elenco di tenant consentiti/bloccati nel portale di Microsoft Defender consente di eseguire manualmente l'override dei verdetti di filtro Defender per Office 365 o EOP. L'elenco viene usato durante il flusso di posta o il tempo di clic per i messaggi in arrivo da mittenti esterni.

Le voci per domini, indirizzi di posta elettronica e mittenti spoofing si applicano ai messaggi interni inviati all'interno dell'organizzazione. Le voci bloccate per domini e indirizzi di posta elettronica impediscono inoltre agli utenti dell'organizzazione di inviare messaggi di posta elettronica a tali domini e indirizzi bloccati.

L'elenco Tenant Consenti/Blocca è disponibile nel portale di Microsoft Defender in https://security.microsoft.com Email & criteri di collaborazione>& regole Regole>criteri di> minacciasezione>Tenant Allow/Block Elenchi. In alternativa, per passare direttamente alla pagina Tenant Consenti/Blocca Elenchi, usare https://security.microsoft.com/tenantAllowBlockList.

Per istruzioni sull'utilizzo e la configurazione, vedere gli articoli seguenti:

Questi articoli contengono procedure nel portale di Microsoft Defender e in PowerShell.

Voci bloccate nell'elenco tenant consentiti/bloccati

Consiglio

Nell'elenco tenant consentiti/bloccati le voci di blocco hanno la precedenza sulle voci consentite.

Usare la pagina Invii (nota anche come invio amministratore) in https://security.microsoft.com/reportsubmission per creare voci di blocco per i tipi di elementi seguenti quando vengono inviati come falsi negativi a Microsoft:

  • Domini e indirizzi di posta elettronica:

    • Email messaggi provenienti da questi mittenti vengono contrassegnati come phishing con attendibilità elevata e quindi spostati in quarantena.
    • Gli utenti dell'organizzazione non possono inviare messaggi di posta elettronica a questi domini e indirizzi bloccati. Ricevono il report di mancato recapito seguente (noto anche come NDR o messaggio di mancato recapito): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. l'intero messaggio viene bloccato per tutti i destinatari interni ed esterni del messaggio, anche se un solo indirizzo di posta elettronica o dominio del destinatario è definito in una voce di blocco.

    Consiglio

    Per bloccare solo la posta indesiderata di un mittente specifico, aggiungere l'indirizzo di posta elettronica o il dominio all'elenco di blocchi nei criteri di protezione dalla posta indesiderata. Per bloccare tutti i messaggi di posta elettronica dal mittente, usare Domini e indirizzi di posta elettronica nell'elenco tenant consentiti/bloccati.

  • File: Email messaggi che contengono questi file bloccati vengono bloccati come malware. I messaggi contenenti i file bloccati vengono messi in quarantena.

  • URL: Email messaggi che contengono questi URL bloccati vengono bloccati come phishing con attendibilità elevata. I messaggi contenenti gli URL bloccati vengono messi in quarantena.

Nell'elenco tenant consentiti/bloccati è anche possibile creare direttamente voci di blocco per i tipi di elementi seguenti:

Per impostazione predefinita, le voci di blocco per domini e indirizzi di posta elettronica, file e URL scadono dopo 30 giorni, ma è possibile impostarle in modo che scadano fino a 90 giorni o non scadano mai.

Le voci di blocco per mittenti e indirizzi IP contraffatti non scadono mai.

Consenti voci nell'elenco tenant consentiti/bloccati

Nella maggior parte dei casi, non è possibile creare direttamente voci consentite nell'elenco tenant consentiti/bloccati. Le voci consentite non necessarie espongono l'organizzazione a messaggi di posta elettronica dannosi che potrebbero essere stati filtrati dal sistema.

L'elenco seguente descrive cosa accade nell'elenco tenant consentiti/bloccati quando si invia un elemento a Microsoft come falso positivo nella pagina Invii :

  • Email allegati e URL: viene creata una voce consenti e la voce viene visualizzata rispettivamente nella scheda File o URL dell'elenco tenant consentiti/bloccati.

    Per gli URL segnalati come falsi positivi, sono consentiti i messaggi successivi che contengono varianti dell'URL originale. Ad esempio, si usa la pagina Invii per segnalare l'URL www.contoso.com/abcbloccato in modo non corretto. Se l'organizzazione riceve in un secondo momento un messaggio che contiene l'URL ( ad esempio, ma non limitato a: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5o www.contoso.com/abc/whatever), il messaggio non viene bloccato in base all'URL. In altre parole, non è necessario segnalare più varianti dello stesso URL valide per Microsoft.

  • Email: se un messaggio è stato bloccato dallo stack di filtri EOP o Defender per Office 365, potrebbe essere creata una voce consenti nell'elenco tenant consentiti/bloccati:

    • Se il messaggio è stato bloccato dall'intelligence per lo spoofing, viene creata una voce allow per il mittente e la voce viene visualizzata nella scheda Mittenti spoofed nell'elenco tenant consentiti/bloccati.
    • Se il messaggio è stato bloccato dalla protezione della rappresentazione dell'utente (o del grafico) in Defender per Office 365, non viene creata una voce consenti nell'elenco tenant consentiti/bloccati. Al contrario, il dominio o il mittente viene aggiunto alla sezione Mittenti e domini attendibili nei criteri anti-phishing che hanno rilevato il messaggio.
    • Se il messaggio è stato bloccato a causa di filtri basati su file, viene creata una voce consenti per il file e la voce viene visualizzata nella scheda File nell'elenco tenant consentiti/bloccati.
    • Se il messaggio è stato bloccato a causa di filtri basati su URL, viene creata una voce consenti per l'URL e la voce viene visualizzata nella scheda URL nell'elenco tenant consentiti/bloccati.
    • Se il messaggio è stato bloccato per qualsiasi altro motivo, viene creata una voce di autorizzazione per l'indirizzo di posta elettronica o il dominio del mittente e la voce viene visualizzata nella scheda Domini & indirizzi nell'elenco Tenant consentiti/bloccati.
    • Se il messaggio non è stato bloccato a causa del filtro, non vengono create voci consentite.

Consiglio

Le voci consentite dagli invii vengono aggiunte durante il flusso di posta in base ai filtri che hanno determinato che il messaggio era dannoso. Ad esempio, se l'indirizzo di posta elettronica del mittente e un URL nel messaggio sono determinati come dannosi, viene creata una voce di autorizzazione per il mittente (indirizzo di posta elettronica o dominio) e l'URL.

Durante il flusso di posta o il tempo di clic, se i messaggi contenenti le entità nelle voci consentite superano altri controlli nello stack di filtri, i messaggi vengono recapitati (tutti i filtri associati alle entità consentite vengono ignorati). Ad esempio, se un messaggio passa i controlli di autenticazione tramite posta elettronica, il filtro URL e il filtro dei file, viene recapitato un messaggio da un indirizzo di posta elettronica del mittente consentito se proviene anche da un mittente consentito.

Per impostazione predefinita, le voci consentite per domini e indirizzi di posta elettronica, file e URL vengono mantenute per 45 giorni dopo che il sistema di filtro determina che l'entità è pulita e quindi la voce consenti viene rimossa. In alternativa, è possibile impostare la scadenza delle voci fino a 30 giorni dopo la creazione. Le voci consentite per i mittenti spoofing non scadono mai.

Cosa aspettarsi dopo l'aggiunta di una voce allow o block

Dopo aver aggiunto una voce consenti nella pagina Invii o una voce di blocco nell'elenco tenant consentiti/bloccati, la voce dovrebbe iniziare immediatamente a funzionare (entro 5 minuti).

Se Microsoft ha appreso dalla voce allow, il criterio di avviso predefinito denominato Removed an entry in Tenant Allow/Block List genera un avviso quando la voce allow (ora non necessaria) viene rimossa.