テナント許可/ブロック リストを使用して IP アドレスを許可またはブロックする

Exchange Online メールボックスを持たないExchange Onlineまたはスタンドアロン Exchange Online Protection (EOP) 組織のメールボックスを持つ Microsoft 365 組織では、管理者はテナント許可/ブロックリストで IP アドレスのエントリを作成および管理できます。 テナントの許可/ブロックリストの詳細については、「テナントの許可/ブロックリスト で許可とブロックを管理する」を参照してください。

この記事では、管理者がMicrosoft Defender ポータルと PowerShell で IP アドレスのエントリExchange Online管理する方法について説明します。

はじめに把握しておくべき情報

• 「https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [テナントの許可/ブロック] Listsページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。 [申請] ページに直接移動するには、https://security.microsoft.com/reportsubmissionを使用します。

• Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。 スタンドアロンの EOP PowerShell に接続するには、「Exchange Online Protection PowerShell への接続」を参照してください。

• IPv6 アドレスは、次の形式でのみサポートされます。

  • コロン 16 進形式の単一アドレス。 たとえば、2001:0db8:85a3:0000:0000:8a2e:0370:7334 です。
  • 0 圧縮形式の単一アドレス。 たとえば、2001:db8::1 は 2001:0db8:0000:0000:0000:0000:0000:0001 を表します。
  • CIDR IPv6 範囲。 たとえば、2001:0db8::/32 などです。 1 ~ 128 の範囲がサポートされています。

• IP アドレスのエントリ制限:

  • Exchange Online Protection: 許可エントリの最大数は 500 で、ブロック エントリの最大数は 500 (合計で 1,000 IP エントリ) です。
  • Defender for Office 365プラン 1: 許可エントリの最大数は 1000 で、ブロック エントリの最大数は 1000 (合計で 2000 IP エントリ) です。
  • Defender for Office 365プラン 2: 許可エントリの最大数は 5000 で、ブロック エントリの最大数は 10000 (合計で 15000 IP エントリ) です。

• エントリは 5 分以内にアクティブにする必要があります。

• この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。

  • Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションEmail &場合>Exchange Onlineアクセス許可は Active です。PowerShell ではなく Defender ポータルにのみ影響します:承認と設定/セキュリティ設定/検出のチューニング (管理) または承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り)

  • Exchange Onlineアクセス許可:

    • テナント許可/ブロック リスト: 次のいずれかの役割グループのメンバーシップのエントリを追加および削除します。
      • 組織の管理 または セキュリティ管理者 (セキュリティ管理者ロール)。
      • セキュリティ オペレーター (テナント AllowBlockList Manager)。
    • テナント許可/ブロック リストへの読み取り専用アクセス: 次のいずれかの役割グループのメンバーシップ。
      • グローバル リーダー
      • セキュリティ閲覧者
      • "View-Only Configuration/表示専用構成"
      • View-Only Organization Management

  • Microsoft Entraアクセス許可: グローバル管理者^*、セキュリティ管理者、グローバル 閲覧者、またはセキュリティ 閲覧者ロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可をユーザーに付与します。

    重要

    ^* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

IP アドレスの許可エントリを作成する

許可エントリは、指定された送信 IP アドレスの IP フィルターのみをオーバーライドします。

IP アドレスの許可エントリは、このセクションの説明に従ってテナント許可/ブロック リストで直接作成できます。

Microsoft Defender ポータルを使用して、テナント許可/ブロック 一覧で IP アドレスの許可エントリを作成する

1. https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

2. [テナントの許可/ブロックLists] ページで、[IP アドレス] タブを選択します。

3. [ IP アドレス ] タブで、[ Allow] を選択します。

4. 開いた [ IP アドレスの許可] ポップアップで、次の設定を構成します。

   • [IP アドレスの追加]: 1 行に最大 20 個の IP アドレスを入力します。

   • 許可エントリの削除後: 次の値から選択します。

     • 1 日
     • 7 日間
     • 30 日間
     • 有効期限なし (既定値)
     • 特定の日付: 最大値は今日から 90 日です。

   • 省略可能な注意: IP アドレスを許可する理由を説明するテキストを入力します。

   [ IP アドレスの許可] ポップアップが完了したら、[ 追加] を選択します。

[ IP アドレス ] タブに戻ると、エントリが一覧表示されます。

PowerShell を使用して、テナントの許可/ブロックリストに IP アドレスの許可エントリを作成する

PowerShell Exchange Onlineで、次の構文を使用します。

New-TenantAllowBlockListItems -ListType IP -Allow -Entries "IPAddress1","IPAddress2",..."IPAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

次の使用例は、期限切れになることのない指定された IP アドレスの許可エントリを追加します。

New-TenantAllowBlockListItems -ListType IP -Allow -Entries "2001:db8:3333:4444:5555:6666:7777:8882" -NoExpiration

構文とパラメーターの詳細については、「 New-TenantAllowBlockListItems」を参照してください。

IP アドレスのブロック エントリを作成する

IP アドレスのブロック エントリは、このセクションの説明に従ってテナント許可/ブロック リストで直接作成できます。

ブロック エントリ内の IP アドレスからの受信メール メッセージは、サービスのエッジでブロックされます。

Microsoft Defender ポータルを使用して、テナント許可/ブロック 一覧で IP アドレスのブロック エントリを作成する

1. https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

2. [テナントの許可/ブロックLists] ページで、[IP アドレス] タブを選択します。

3. [IP アドレス] タブで、[Block] を選択します。

4. 開いた [ IP アドレスのブロック ] ポップアップで、次の設定を構成します。

   • [IP アドレスの追加]: 1 行に最大 20 個の IP アドレスを入力します。

   • 後のブロック エントリの削除: 次の値から選択します。

     • 1 日
     • 7 日間
     • 30 日間
     • 有効期限なし (既定値)
     • 特定の日付: 最大値は今日から 90 日です。

   • 省略可能な注意: IP アドレスをブロックする理由を説明するテキストを入力します。

   [ IP アドレスのブロック ] ポップアップが完了したら、[ 追加] を選択します。

[ IP アドレス ] タブに戻ると、エントリが一覧表示されます。

PowerShell を使用して、テナント許可/ブロック 一覧で IP アドレスのブロック エントリを作成する

PowerShell Exchange Onlineで、次の構文を使用します。

New-TenantAllowBlockListItems -ListType IP -Block -Entries "IPAddress1","IPAddress2",..."IPAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

次の使用例は、期限切れになることのない指定された IP アドレスのブロック エントリを追加します。

New-TenantAllowBlockListItems -ListType IP -Block -Entries "2001:db8:3333:4444:5555:6666:7777:8882" -NoExpiration

構文とパラメーターの詳細については、「 New-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、[テナントの許可/ブロック] リストで IP アドレスのエントリを表示する

https://security.microsoft.comのMicrosoft Defender ポータルで、[ルール] セクションの [ポリシー & ルール>[ポリシー>テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

[ IP アドレス ] タブを選択します。

[ IP アドレス ] タブで、使用可能な列ヘッダーをクリックしてエントリを並べ替えることができます。 次の列を使用できます。

• 値: IP アドレス。
• アクション: 使用可能な値は [許可] または [ブロック] です。
• 変更したユーザー
• 最終更新日時
• 最終使用日: 判定を上書きするためにフィルター システムでエントリが最後に使用された日付。
• 削除日: 有効期限。
• Notes

エントリをフィルター処理するには、[Filter] を選択します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。

• アクション: 使用可能な値は [許可] と [ブロック] です。
• 有効期限なし: または
• 最終更新日: [ 開始日 ] と [ 終了日] を 選択します。
• 最後に使用された日付: [ 開始日 ] と [ 終了日] を 選択します。
• [削除日] : [ 開始日 ] と [ 終了日] を 選択します。

[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。

検索ボックスと対応する値を使用して、特定のエントリを検索します。

エントリをグループ化するには、[ グループ ] を選択し、[アクション] を選択 します。 エントリのグループ化を解除するには、[ なし] を選択します。

PowerShell を使用して、テナントの許可/ブロック一覧で IP アドレスのエントリを表示する

PowerShell Exchange Onlineで、次の構文を使用します。

Get-TenantAllowBlockListItems -ListType IP [-Allow] [-Block] [-Entry <IPaddress>] [<-ExpirationDate Date | -NoExpiration>]

この例では、許可された IP アドレスとブロックされた IP アドレスをすべて返します。

Get-TenantAllowBlockListItems -ListType IP

次の使用例は、指定した IP アドレスの情報を返します。

Get-TenantAllowBlockListItems -ListType IP -Entry "2001:db8:3333:4444:5555:6666:7777:8882"

次の使用例は、ブロックされた IP アドレスによって結果をフィルター処理します。

Get-TenantAllowBlockListItems -ListType IP -Block

構文とパラメーターの詳細については、「 Get-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、テナント許可/ブロック 一覧の IP アドレスのエントリを変更する

既存の IP アドレス エントリの場合は、有効期限とメモを変更できます。

1. https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

2. [ IP アドレス ] タブを選択します

3. [IP アドレス] タブで、最初の列の横にある [チェック] ボックスを選択して一覧からエントリを選択し、表示される [][編集] アクションを選択します。

4. 開いた [IP アドレスの編集] ポップアップで、次の設定を使用できます。

   • ブロック エントリ:
     • 後のブロック エントリの削除: 次の値から選択します。
       • 1 日
       • 7 日間
       • 30 日間
       • 有効期限なし
       • 特定の日付: 最大値は今日から 90 日です。
     • 省略可能なメモ
   • エントリを許可する:
     • 許可エントリの削除後: 次の値から選択します。
       • 1 日
       • 7 日間
       • 30 日間
       • 有効期限なし
       • 特定の日付: 最大値は今日から 30 日です。
     • 省略可能なメモ

   [IP アドレスの編集] ポップアップが完了したら、[保存] を選択します。

PowerShell を使用して、テナント許可/ブロック リストの IP アドレスの既存の許可またはブロック エントリを変更する

PowerShell Exchange Onlineで、次の構文を使用します。

Set-TenantAllowBlockListItems -ListType IP <-Ids <Identity value> | -Entries <Value> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

次の使用例は、指定した IP アドレス ブロック エントリの有効期限を変更します。

Set-TenantAllowBlockListItems -ListType IP -Entries "2001:db8:3333:4444:5555:6666:7777:8882" -ExpirationDate "9/1/2024"

構文とパラメーターの詳細については、「 Set-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、テナントの許可/ブロック リストから IP アドレスのエントリを削除する

1. https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

2. [ IP アドレス ] タブを選択します。

3. [ IP アドレス ] タブで、次のいずれかの手順を実行します。

   • 最初の列の横にある [チェック] ボックスを選択して、一覧からエントリを選択し、表示される [削除] アクションを選択します。

   • [チェック] ボックス以外の行の任意の場所をクリックして、一覧からエントリを選択します。 開いた詳細ポップアップで、ポップアップの上部にある [ 削除 ] を選択します。

     ヒント

     詳細ポップアップを残さずに他のエントリの詳細を表示するには、ポップアップの上部にある Previous 項目 と 次の項目 を使用します。

4. 開いた警告ダイアログで、[削除] を選択 します。

[ IP アドレス ] タブに戻ると、エントリは表示されなくなります。

PowerShell を使用してテナント許可/ブロック リストから IP アドレスのエントリを削除する

PowerShell Exchange Onlineで、次の構文を使用します。

Remove-TenantAllowBlockListItems -ListType IP <-Ids <Identity value> | -Entries <Value>>

次の使用例は、指定した IP アドレス ブロックをテナント許可/ブロック リストから削除します。

Remove-TenantAllowBlockListItems -ListType IP -Entries "2001:db8:3333:4444:5555:6666:7777:8882"

構文とパラメーターの詳細については、「 Remove-TenantAllowBlockListItems」を参照してください。

関連記事

• [申請] ページを使用して、疑わしいスパム、フィッシング、URL、正当なメールの受信がブロックされ、電子メールの添付ファイルを Microsoft に送信します
• 誤検知と偽陰性を報告する
• テナントの許可/ブロック一覧で許可とブロックを管理する
• [テナントの許可/ブロック] リストでメールを許可またはブロックする
• テナントの許可/ブロックリストで URL を許可またはブロックする
• テナントの許可/ブロックリストでファイルを許可またはブロックする