テナントの許可/ブロック一覧で許可とブロックを管理する

場合によっては、メール メッセージ、Microsoft Teams メッセージ、または Office アプリに対する Microsoft フィルター処理の判定に同意しない場合があります。 たとえば、適切なメッセージが無効 (誤検知) としてマークされている場合や、不適切なメッセージを介して許可される (偽陰性) 場合や、ない場合は URL がブロックされる可能性があります。

Microsoft Defender ポータルのテナント許可/ブロック リストを使用すると、フィルターの判定を手動でオーバーライドできます。 この一覧は、メール フロー (メールの場合) またはクリック時 (メール、Teams、または Office アプリの場合) に使用されます。

[テナントの許可/ブロック] の一覧は、https://security.microsoft.comEmail &コラボレーション>ポリシー &ルール>Threat Policies>Rules セクション>Tenant Allow/Block Lists のMicrosoft Defender ポータルで使用できます。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

使用方法と構成手順については、次の記事を参照してください。

• ドメインとメール アドレスとなりすまし送信者: テナント許可/ブロック リストを使用してメールを許可またはブロックする
  • エントリは、差出人アドレス (5322.From アドレスまたは P2 送信者とも呼ばれます) ではなく、MAIL FROM アドレス (5321.MailFrom アドレス、P1 送信者、またはエンベロープ送信者とも呼ばれます) に適用されます。 これらのアドレスの詳細については、「 インターネット メールで認証が必要な理由」を参照してください。
  • エントリは、内部送信者と外部送信者の両方からのメッセージに適用されます。 特殊な処理は、内部スプーフィング シナリオに適用されます。
  • ドメインとメール アドレスのエントリをブロックすると、organizationのユーザーがブロックされたドメインとアドレスに電子メールを送信することもできなくなります。
• ファイル: テナント許可/ブロック リストを使用してファイルを許可またはブロックする
• URL: テナント許可/ブロック リストを使用して URL を許可またはブロックします。
  • Microsoft 以外の攻撃シミュレーション トレーニングからのフィッシング URL を許可するには、テナント許可/ブロック リストの URL 許可エントリを使用しないでください。 詳細配信ポリシーを使用して URL を指定します。
• IP アドレス: テナント許可/ブロック リストを使用して IPv6 アドレスを許可またはブロックします。
• Teams ドメイン: テナント許可/ブロック リストを使用してMicrosoft Teamsのドメインをブロックします。

これらの記事には、Microsoft Defender ポータルと PowerShell の手順が含まれています。

[テナントの許可/ブロック] リストのエントリをブロックする

microsoft に偽陰性として送信するときに、https://security.microsoft.com/reportsubmissionの [申請] ページ (管理者申請とも呼ばれます) を使用して、次の種類のアイテムのブロック エントリを作成します。

• ドメインとメール アドレス:

  • これらの送信者からのEmailメッセージは信頼度の高いフィッシングとしてマークされ、検疫に移動されます。
  • organizationのユーザーは、これらのブロックされたドメインとアドレスに電子メールを送信できません。 次の配信不能レポート (NDR またはバウンス メッセージとも呼ばれます) を受け取ります。 550 5.7.703 Your message can't be delivered because messages to XXX, YYY are blocked by your organization using Tenant Allow Block List. 1 つの受信者のメール アドレスまたはドメインがブロック エントリで定義されている場合でも、メッセージの内部および外部のすべての受信者に対してメッセージ全体がブロックされます。

  ヒント

  テナント許可/ブロック リストで特定の送信者またはドメインをブロックすると、それらのメッセージは高信頼フィッシングとして扱われます。 これらのメッセージをスパムとして扱うには、スパム 対策ポリシーの [ブロックされた送信者] リストまたは [ブロックされたドメイン] リストに送信者を追加します。

• ファイル: これらのブロックされたファイルを含むEmailメッセージは、マルウェアとしてブロックされます。 ブロックされたファイルを含むメッセージは検疫されます。

• URL: これらのブロックされた URL を含むEmailメッセージは、信頼度の高いフィッシングとしてブロックされます。 ブロックされた URL を含むメッセージは検疫されます。

[テナントの許可/ブロック一覧] で、次の種類の項目のブロック エントリを直接作成することもできます。

• ドメインとメール アドレス、 ファイル、 URL。

• スプーフィングされた送信者: スプーフィング インテリジェンスからの既存の許可の判定を手動でオーバーライドした場合、ブロックされたスプーフィングされた送信者は、テナント許可/ブロック リストの [ なりすまし送信者 ] タブにのみ表示される手動のブロック エントリになります。

• IP アドレス: ブロック エントリを手動で作成すると、その IP アドレスからのすべての受信メール メッセージがサービスの端にドロップされます。

• Teams ドメイン: ブロック エントリを手動で作成すると、そのドメインからの Teams 経由のすべての受信通信はブロックされますが、既存の通信は削除されます。

既定では、次の種類のブロック エントリは 30 日後に期限切れになりますが、有効期限が 90 日に切れるか、期限切れにならないように設定できます。

• ドメインとメール アドレス
• ファイル
• URL。

次の種類のブロック エントリの有効期限は切れません。

• なりすまし送信者
• IP アドレス
• Teams ドメイン。

[テナントの許可/ブロック] リストのエントリを許可する

不要な許可エントリは、システムがフィルター処理する悪意のある電子メールにorganizationを公開するため、テナント許可/ブロック リストで許可エントリを直接作成するための制限があります。

• ドメインとメール アドレスとURL: テナント許可/ブロック リストに許可エントリを直接作成して、次の判定をオーバーライドできます。

  • バルク
  • スパム
  • 高確度スパム
  • フィッシング (高精度フィッシングではない)

  マルウェアと信頼度の高いフィッシング判定の場合、テナントの許可/ブロックリストに許可エントリを直接作成することはできません。 代わりに、https://security.microsoft.com/reportsubmissionの [申請] ページを使用して、メールまたは URL を Microsoft に送信します。 [クリーンであることを確認しました] を選択した後、[このメッセージを許可する] または [この URL を許可する] を選択して、ドメインとメール アドレスまたは URL の許可エントリを作成できます。

• ファイル: テナントの許可/ブロック一覧で許可エントリを直接作成することはできません。 代わりに、https://security.microsoft.com/reportsubmissionの [申請] ページを使用して、電子メールの添付ファイルを Microsoft に送信します。 [クリーン確認しました] を選択した後、[このファイルを許可する] を選択して、ファイルの許可エントリを作成できます。

• なりすまし送信者:

  • スプーフィング インテリジェンスによってメッセージが既にスプーフィングとしてブロックされている場合は、https://security.microsoft.com/reportsubmissionの [申請] ページを使用して、クリーンであることを確認したメールを Microsoft に報告し、[このメッセージを許可する] を選択します。
  • スプーフィング インテリジェンスがメッセージをスプーフィングとして識別およびブロックする前に、[テナントの許可/ブロック リスト] の [なりすまし送信者] タブで、なりすまし送信者の許可エントリを事前に作成できます。

• IP アドレス: テナント許可/ブロック リストの [IP アドレス] タブで IP アドレスの許可エントリを事前に作成して、受信メッセージの IP フィルターをオーバーライドできます。

  • IP アドレス許可エントリは、IP ベースのフィルター処理チェック (接続フィルターや IP 評判チェックなど) をバイパスします。
  • IP アドレス許可エントリでは、メッセージ調整の動作は変更されません。
  • IP アドレス ブロック エントリは、サービス エッジでのメッセージを拒否します。

次の一覧では、[申請 ] ページで 誤検知として Microsoft に何かを送信した場合のテナント許可/ブロックリストの動作について説明します。

• Email添付ファイルと URL: 許可エントリが作成され、[テナントの許可/ブロックリスト] の [ファイル] タブまたは [URL] タブにエントリがそれぞれ表示されます。

  誤検知として報告された URL の場合、元の URL のバリエーションを含む後続のメッセージを許可します。 たとえば、[ 申請] ページを 使用して、不適切にブロックされた URL www.contoso.com/abcを報告します。 organizationが後で URL を含むメッセージ (たとえば、www.contoso.com/abc、www.contoso.com/abc?id=1、www.contoso.com/abc/def/gty/uyt?id=5、またはwww.contoso.com/abc/whatever) を受け取った場合、URL に基づいてメッセージはブロックされません。 つまり、同じ URL の複数のバリエーションを Microsoft に報告する必要はありません。

• Email: Microsoft 365 がメッセージをブロックした場合、テナントの許可/ブロックリストに許可エントリが作成される可能性があります。

  • メッセージがスプーフィング インテリジェンスによってブロックされた場合、送信者の許可エントリが作成され、[テナントの許可/ブロックリスト] の [なりすまし送信者] タブにエントリが表示されます。
  • Defender for Office 365のユーザーまたはメールボックス インテリジェンス偽装保護がメッセージをブロックした場合、許可エントリはテナント許可/ブロックリストに作成されません。 代わりに、ドメインまたは送信者は、メッセージを検出したフィッシング対策ポリシーの [信頼された送信者とドメイン] セクションに追加されます。
  • ファイル ベースのフィルターによってメッセージがブロックされた場合は、ファイルの許可エントリが作成され、[テナントの許可/ブロックリスト] の [ ファイル ] タブにエントリが表示されます。
  • URL ベースのフィルターによってメッセージがブロックされた場合、URL の許可エントリが作成され、[テナントの許可/ブロックリスト] の [ URL ] タブにエントリが表示されます。
  • メッセージが他の理由でブロックされた場合は、送信者の電子メール アドレスまたはドメインの許可エントリが作成され、[テナントの許可/ブロックリスト] の [ ドメイン & アドレス ] タブにエントリが表示されます。
  • フィルター処理のためにメッセージがブロックされなかった場合、許可エントリはどこにも作成されません。

許可またはブロック エントリを追加した後に予想される内容

[申請] ページに許可エントリを追加した後、または [テナントの許可/ブロックリスト] のブロック エントリを追加すると、エントリはすぐに (5 分以内に) 動作を開始する必要があります。

Microsoft が許可エントリから学習した場合、"削除済み" という名前の組み込みのアラート ポリシーは、(不要になった) 許可エントリが削除されたときにアラートを生成します。