テナント許可/ブロック リストを使用して IP アドレスを許可またはブロックする
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
Exchange Online メールボックスを持たないExchange Onlineまたはスタンドアロン Exchange Online Protection (EOP) 組織のメールボックスを持つ Microsoft 365 組織では、管理者はテナント許可/ブロックリストで IP アドレスのエントリを作成および管理できます。 テナントの許可/ブロックリストの詳細については、「テナントの許可/ブロックリスト で許可とブロックを管理する」を参照してください。
この記事では、管理者がMicrosoft Defender ポータルと PowerShell で IP アドレスのエントリExchange Online管理する方法について説明します。
はじめに把握しておくべき情報
「https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [テナントの許可/ブロック] Listsページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。 [申請] ページに直接移動するには、https://security.microsoft.com/reportsubmissionを使用します。
Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。 スタンドアロンの EOP PowerShell に接続するには、「Exchange Online Protection PowerShell への接続」を参照してください。
IPv6 アドレスは、次の形式でのみサポートされます。
- コロン 16 進形式の単一アドレス。 たとえば、2001:0db8:85a3:0000:0000:8a2e:0370:7334 です。
- 0 圧縮形式の単一アドレス。 たとえば、2001:db8::1 は 2001:0db8:0000:0000:0000:0000:0000:0001 を表します。
- CIDR IPv6 範囲。 たとえば、2001:0db8::/32 などです。 1 ~ 128 の範囲がサポートされています。
IP アドレスのエントリ制限:
- Exchange Online Protection: 許可エントリの最大数は 500 で、ブロック エントリの最大数は 500 (合計で 1,000 IP エントリ) です。
- Defender for Office 365プラン 1: 許可エントリの最大数は 1000 で、ブロック エントリの最大数は 1000 (合計で 2000 IP エントリ) です。
- Defender for Office 365プラン 2: 許可エントリの最大数は 5000 で、ブロック エントリの最大数は 10000 (合計で 15000 IP エントリ) です。
エントリは 5 分以内にアクティブにする必要があります。
この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。
Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションEmail &場合>Exchange Onlineアクセス許可は Active です。PowerShell ではなく Defender ポータルにのみ影響します:承認と設定/セキュリティ設定/検出のチューニング (管理) または承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り)
-
-
テナント許可/ブロック リスト: 次のいずれかの役割グループのメンバーシップのエントリを追加および削除します。
- 組織の管理 または セキュリティ管理者 (セキュリティ管理者ロール)。
- セキュリティ オペレーター (テナント AllowBlockList Manager)。
-
テナント許可/ブロック リストへの読み取り専用アクセス: 次のいずれかの役割グループのメンバーシップ。
- グローバル リーダー
- セキュリティ閲覧者
- "View-Only Configuration/表示専用構成"
- View-Only Organization Management
-
テナント許可/ブロック リスト: 次のいずれかの役割グループのメンバーシップのエントリを追加および削除します。
Microsoft Entraアクセス許可: グローバル管理者*、セキュリティ管理者、グローバル 閲覧者、またはセキュリティ 閲覧者ロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可をユーザーに付与します。
重要
* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
IP アドレスの許可エントリを作成する
許可エントリは、指定された送信 IP アドレスの IP フィルターのみをオーバーライドします。
IP アドレスの許可エントリは、このセクションの説明に従ってテナント許可/ブロック リストで直接作成できます。
Microsoft Defender ポータルを使用して、テナント許可/ブロック 一覧で IP アドレスの許可エントリを作成する
https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。
[テナントの許可/ブロックLists] ページで、[IP アドレス] タブを選択します。
[ IP アドレス ] タブで、[ Allow] を選択します。
開いた [ IP アドレスの許可] ポップアップで、次の設定を構成します。
[IP アドレスの追加]: 1 行に最大 20 個の IP アドレスを入力します。
許可エントリの削除後: 次の値から選択します。
- 1 日
- 7 日間
- 30 日間
- 有効期限なし (既定値)
- 特定の日付: 最大値は今日から 90 日です。
省略可能な注意: IP アドレスを許可する理由を説明するテキストを入力します。
[ IP アドレスの許可] ポップアップが完了したら、[ 追加] を選択します。
[ IP アドレス ] タブに戻ると、エントリが一覧表示されます。
PowerShell を使用して、テナントの許可/ブロックリストに IP アドレスの許可エントリを作成する
PowerShell Exchange Onlineで、次の構文を使用します。
New-TenantAllowBlockListItems -ListType IP -Allow -Entries "IPAddress1","IPAddress2",..."IPAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]
次の使用例は、期限切れになることのない指定された IP アドレスの許可エントリを追加します。
New-TenantAllowBlockListItems -ListType IP -Allow -Entries "2001:db8:3333:4444:5555:6666:7777:8882" -NoExpiration
構文とパラメーターの詳細については、「 New-TenantAllowBlockListItems」を参照してください。
IP アドレスのブロック エントリを作成する
IP アドレスのブロック エントリは、このセクションの説明に従ってテナント許可/ブロック リストで直接作成できます。
ブロック エントリ内の IP アドレスからの受信メール メッセージは、サービスのエッジでブロックされます。
Microsoft Defender ポータルを使用して、テナント許可/ブロック 一覧で IP アドレスのブロック エントリを作成する
https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。
[テナントの許可/ブロックLists] ページで、[IP アドレス] タブを選択します。
[IP アドレス] タブで、[Block] を選択します。
開いた [ IP アドレスのブロック ] ポップアップで、次の設定を構成します。
[IP アドレスの追加]: 1 行に最大 20 個の IP アドレスを入力します。
後のブロック エントリの削除: 次の値から選択します。
- 1 日
- 7 日間
- 30 日間
- 有効期限なし (既定値)
- 特定の日付: 最大値は今日から 90 日です。
省略可能な注意: IP アドレスをブロックする理由を説明するテキストを入力します。
[ IP アドレスのブロック ] ポップアップが完了したら、[ 追加] を選択します。
[ IP アドレス ] タブに戻ると、エントリが一覧表示されます。
PowerShell を使用して、テナント許可/ブロック 一覧で IP アドレスのブロック エントリを作成する
PowerShell Exchange Onlineで、次の構文を使用します。
New-TenantAllowBlockListItems -ListType IP -Block -Entries "IPAddress1","IPAddress2",..."IPAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]
次の使用例は、期限切れになることのない指定された IP アドレスのブロック エントリを追加します。
New-TenantAllowBlockListItems -ListType IP -Block -Entries "2001:db8:3333:4444:5555:6666:7777:8882" -NoExpiration
構文とパラメーターの詳細については、「 New-TenantAllowBlockListItems」を参照してください。
Microsoft Defender ポータルを使用して、[テナントの許可/ブロック] リストで IP アドレスのエントリを表示する
https://security.microsoft.comのMicrosoft Defender ポータルで、[ルール] セクションの [ポリシー & ルール>[ポリシー>テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。
[ IP アドレス ] タブを選択します。
[ IP アドレス ] タブで、使用可能な列ヘッダーをクリックしてエントリを並べ替えることができます。 次の列を使用できます。
- 値: IP アドレス。
- アクション: 使用可能な値は [許可] または [ブロック] です。
- 変更したユーザー
- 最終更新日時
- 最終使用日: 判定を上書きするためにフィルター システムでエントリが最後に使用された日付。
- 削除日: 有効期限。
- Notes
エントリをフィルター処理するには、[Filter] を選択します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。
- アクション: 使用可能な値は [許可] と [ブロック] です。
- 有効期限なし: または
- 最終更新日: [ 開始日 ] と [ 終了日] を 選択します。
- 最後に使用された日付: [ 開始日 ] と [ 終了日] を 選択します。
- [削除日] : [ 開始日 ] と [ 終了日] を 選択します。
[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。
検索ボックスと対応する値を使用して、特定のエントリを検索します。
エントリをグループ化するには、[ グループ ] を選択し、[アクション] を選択 します。 エントリのグループ化を解除するには、[ なし] を選択します。
PowerShell を使用して、テナントの許可/ブロック一覧で IP アドレスのエントリを表示する
PowerShell Exchange Onlineで、次の構文を使用します。
Get-TenantAllowBlockListItems -ListType IP [-Allow] [-Block] [-Entry <IPaddress>] [<-ExpirationDate Date | -NoExpiration>]
この例では、許可された IP アドレスとブロックされた IP アドレスをすべて返します。
Get-TenantAllowBlockListItems -ListType IP
次の使用例は、指定した IP アドレスの情報を返します。
Get-TenantAllowBlockListItems -ListType IP -Entry "2001:db8:3333:4444:5555:6666:7777:8882"
次の使用例は、ブロックされた IP アドレスによって結果をフィルター処理します。
Get-TenantAllowBlockListItems -ListType IP -Block
構文とパラメーターの詳細については、「 Get-TenantAllowBlockListItems」を参照してください。
Microsoft Defender ポータルを使用して、テナント許可/ブロック 一覧の IP アドレスのエントリを変更する
既存の IP アドレス エントリの場合は、有効期限とメモを変更できます。
https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。
[ IP アドレス ] タブを選択します
[IP アドレス] タブで、最初の列の横にある [チェック] ボックスを選択して一覧からエントリを選択し、表示される [][編集] アクションを選択します。
開いた [IP アドレスの編集] ポップアップで、次の設定を使用できます。
-
ブロック エントリ:
-
後のブロック エントリの削除: 次の値から選択します。
- 1 日
- 7 日間
- 30 日間
- 有効期限なし
- 特定の日付: 最大値は今日から 90 日です。
- 省略可能なメモ
-
後のブロック エントリの削除: 次の値から選択します。
-
エントリを許可する:
-
許可エントリの削除後: 次の値から選択します。
- 1 日
- 7 日間
- 30 日間
- 有効期限なし
- 特定の日付: 最大値は今日から 30 日です。
- 省略可能なメモ
-
許可エントリの削除後: 次の値から選択します。
[IP アドレスの編集] ポップアップが完了したら、[保存] を選択します。
-
ブロック エントリ:
PowerShell を使用して、テナント許可/ブロック リストの IP アドレスの既存の許可またはブロック エントリを変更する
PowerShell Exchange Onlineで、次の構文を使用します。
Set-TenantAllowBlockListItems -ListType IP <-Ids <Identity value> | -Entries <Value> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]
次の使用例は、指定した IP アドレス ブロック エントリの有効期限を変更します。
Set-TenantAllowBlockListItems -ListType IP -Entries "2001:db8:3333:4444:5555:6666:7777:8882" -ExpirationDate "9/1/2024"
構文とパラメーターの詳細については、「 Set-TenantAllowBlockListItems」を参照してください。
Microsoft Defender ポータルを使用して、テナントの許可/ブロック リストから IP アドレスのエントリを削除する
https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。
[ IP アドレス ] タブを選択します。
[ IP アドレス ] タブで、次のいずれかの手順を実行します。
最初の列の横にある [チェック] ボックスを選択して、一覧からエントリを選択し、表示される [削除] アクションを選択します。
[チェック] ボックス以外の行の任意の場所をクリックして、一覧からエントリを選択します。 開いた詳細ポップアップで、ポップアップの上部にある [ 削除 ] を選択します。
ヒント
詳細ポップアップを残さずに他のエントリの詳細を表示するには、ポップアップの上部にある Previous 項目 と 次の項目 を使用します。
開いた警告ダイアログで、[削除] を選択 します。
[ IP アドレス ] タブに戻ると、エントリは表示されなくなります。
ヒント
各チェックボックスを選択して複数のエントリを選択するか、[値] 列ヘッダーの横にある [チェック] ボックスを選択して、すべてのエントリを選択できます。
PowerShell を使用してテナント許可/ブロック リストから IP アドレスのエントリを削除する
PowerShell Exchange Onlineで、次の構文を使用します。
Remove-TenantAllowBlockListItems -ListType IP <-Ids <Identity value> | -Entries <Value>>
次の使用例は、指定した IP アドレス ブロックをテナント許可/ブロック リストから削除します。
Remove-TenantAllowBlockListItems -ListType IP -Entries "2001:db8:3333:4444:5555:6666:7777:8882"
構文とパラメーターの詳細については、「 Remove-TenantAllowBlockListItems」を参照してください。