Gerir permissões e blocos na Lista de Permissões/Bloqueios de Inquilinos

Dica

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Importante

Para permitir URLs de phishing que fazem parte da preparação de simulação de ataques de terceiros, utilize a configuração de entrega avançada para especificar os URLs. Não utilize a Lista de Permissões/Bloqueios de Inquilinos.

Nas organizações do Microsoft 365 com caixas de correio em Exchange Online ou organizações autónomas de Proteção do Exchange Online (EOP) sem Exchange Online caixas de correio, poderá discordar da EOP ou Microsoft Defender para Office 365 veredicto de filtragem. Por exemplo, uma boa mensagem pode ser marcada como incorreta (um falso positivo) ou pode ser permitida uma mensagem incorreta (um falso negativo).

A Lista de Permissões/Bloqueios de Inquilinos no portal do Microsoft Defender dá-lhe uma forma de substituir manualmente os veredictos de filtragem de Defender para Office 365 ou EOP. A lista é utilizada durante o fluxo de correio ou o tempo de clique para mensagens recebidas de remetentes externos.

As entradas para Domínios e endereços de e-mail e Remetentes falsificados aplicam-se a mensagens internas enviadas dentro da organização. Bloquear entradas para Domínios e endereços de e-mail também impede que os utilizadores na organização enviem e-mails para esses domínios e endereços bloqueados.

A lista Permitir/Bloquear Inquilino está disponível no portal do Microsoft Defender em https://security.microsoft.compolíticas de colaboração> Email && regras>Regras dePolíticas> de Ameaças, secção > Permitir/Bloquear Listas. Em alternativa, para aceder diretamente à página Permitir/Bloquear Listas inquilino, utilize https://security.microsoft.com/tenantAllowBlockList.

Para obter instruções de utilização e configuração, veja os seguintes artigos:

Estes artigos contêm procedimentos no portal Microsoft Defender e no PowerShell.

Bloquear entradas na Lista de Permissões/Bloqueios de Inquilinos

Dica

Na Lista de Permissões/Bloqueios do Inquilino, as entradas de bloco têm precedência sobre as entradas de permissão.

Utilize a página Submissões (também conhecida como submissão de administrador) em https://security.microsoft.com/reportsubmission para criar entradas de bloco para os seguintes tipos de itens à medida que os submete como falsos negativos para a Microsoft:

  • Domínios e endereços de e-mail:

    • Email mensagens destes remetentes são marcadas como phishing de alta confiança e, em seguida, movidas para quarentena.
    • Os utilizadores na organização não podem enviar e-mails para estes domínios e endereços bloqueados. Recebem o seguinte relatório de entrega sem êxito (também conhecido como NDR ou mensagem de devolução): 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. toda a mensagem é bloqueada para todos os destinatários internos e externos da mensagem, mesmo que apenas um endereço de e-mail ou domínio de destinatário esteja definido numa entrada de bloco.

    Dica

    Para bloquear apenas spam de um remetente específico, adicione o endereço de e-mail ou domínio à lista de blocos em políticas antisspam. Para bloquear todos os e-mails do remetente, utilize Domínios e endereços de e-mail na Lista de Permissões/Bloqueios do Inquilino.

  • Ficheiros: Email mensagens que contêm estes ficheiros bloqueados são bloqueadas como software maligno. As mensagens que contêm os ficheiros bloqueados são colocadas em quarentena.

  • URLs: Email mensagens que contêm estes URLs bloqueados são bloqueadas como phishing de alta confiança. As mensagens que contêm os URLs bloqueados são colocadas em quarentena.

Na Lista de Permissões/Bloqueios do Inquilino, também pode criar diretamente entradas de blocos para os seguintes tipos de itens:

Por predefinição, as entradas de blocos para domínios e endereços de e-mail, ficheiros e URLs expiram após 30 dias, mas pode defini-las para expirarem até 90 dias ou para nunca expirarem.

Bloquear entradas para remetentes falsificados e endereços IP nunca expiram.

Permitir entradas na Lista de Permissões/Bloqueios de Inquilinos

Na maioria dos casos, não pode criar diretamente entradas de permissão na Lista de Permissões/Bloqueios do Inquilino. As entradas de permissão desnecessárias expõem a sua organização a e-mails maliciosos que poderiam ter sido filtrados pelo sistema.

A lista seguinte descreve o que acontece na Lista de Permissões/Bloqueios de Inquilinos quando submete algo à Microsoft como um falso positivo na página Submissões :

  • Email anexos e URLs: é criada uma entrada de permissão e a entrada é apresentada no separador Ficheiros ou URLs na Lista de Permissões/Bloqueios do Inquilino, respetivamente.

    Para URLs comunicados como falsos positivos, permitimos mensagens subsequentes que contenham variações do URL original. Por exemplo, utilize a página Submissões para comunicar o URL www.contoso.com/abcbloqueado incorretamente. Se a sua organização receber mais tarde uma mensagem que contém o URL (por exemplo, mas não limitado a: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5ou www.contoso.com/abc/whatever), a mensagem não é bloqueada com base no URL. Por outras palavras, não precisa de comunicar múltiplas variações do mesmo URL como bom para a Microsoft.

  • Email: se uma mensagem tiver sido bloqueada pela EOP ou Defender para Office 365 pilha de filtragem, poderá ser criada uma entrada de permissão na Lista de Permissões/Bloqueios do Inquilino:

    • Se a mensagem tiver sido bloqueada por informações de spoof, é criada uma entrada de permissão para o remetente e a entrada é apresentada no separador Remetentes falsificados na Lista de Permissões/Bloqueios do Inquilino.
    • Se a mensagem tiver sido bloqueada pela proteção de representação do utilizador (ou gráfico) no Defender para Office 365, não será criada uma entrada de permissão na Lista de Permissões/Bloqueios de Inquilinos. Em vez disso, o domínio ou remetente é adicionado à secção Remetentes e domínios fidedignos na política anti-phishing que detetou a mensagem.
    • Se a mensagem tiver sido bloqueada devido a filtros baseados em ficheiros, é criada uma entrada de permissão para o ficheiro e a entrada é apresentada no separador Ficheiros na Lista de Permissões/Bloqueios do Inquilino.
    • Se a mensagem tiver sido bloqueada devido a filtros baseados em URL, é criada uma entrada de permissão para o URL e a entrada é apresentada no separador URL na Lista de Permissões/Bloqueios do Inquilino.
    • Se a mensagem tiver sido bloqueada por outro motivo, é criada uma entrada de permissão para o endereço de e-mail ou domínio do remetente e a entrada é apresentada no separador Domínios & endereços na Lista de Permissões/Bloqueios do Inquilino.
    • Se a mensagem não tiver sido bloqueada devido à filtragem, não serão criadas entradas de permissão em qualquer lugar.

Dica

As entradas de permissões de submissões são adicionadas durante o fluxo de correio com base nos filtros que determinaram que a mensagem era maliciosa. Por exemplo, se o endereço de e-mail do remetente e um URL na mensagem forem determinados como maliciosos, é criada uma entrada de permissão para o remetente (endereço de e-mail ou domínio) e o URL.

Durante o fluxo de correio ou a hora de clique, se as mensagens que contêm as entidades nas entradas de permissão passarem outras verificações na pilha de filtragem, as mensagens são entregues (todos os filtros associados às entidades permitidas são ignorados). Por exemplo, se uma mensagem passar verificações de autenticação de e-mail, filtragem de URL e filtragem de ficheiros, será entregue uma mensagem de um endereço de e-mail do remetente permitido se também for proveniente de um remetente permitido.

Por predefinição, as entradas de permissão para domínios e endereços de e-mail, ficheiros e URLs são mantidas durante 45 dias após o sistema de filtragem determinar que a entidade é limpo e, em seguida, a entrada de permissão é removida. Em alternativa, pode definir as entradas de permissão para expirarem até 30 dias após a sua criação. Permitir entradas para remetentes falsificados nunca expiram .

O que esperar depois de adicionar uma entrada de permissão ou bloqueio

Depois de adicionar uma entrada de permissão na página Submissões ou uma entrada de bloco na Lista de Permissões /Bloqueios do Inquilino, a entrada deve começar a funcionar imediatamente (dentro de 5 minutos).

Se a Microsoft aprendeu com a entrada permitir, a política de alerta incorporada denominada Remove an entry in Tenant Allow/Block List gera um alerta quando a entrada de permissão (agora desnecessária) é removida.