テナント許可/禁止リストを使用して URL を許可または禁止する

クラウド メールボックスを持つすべての組織で、管理者はテナント許可/ブロック リストでドメインとメール アドレス (なりすまし送信者を含む) のエントリを作成および管理できます。 テナントの許可/ブロックリストの詳細については、「テナントの許可/ブロックリスト で許可とブロックを管理する」を参照してください。

この記事では、管理者がMicrosoft Defender ポータルと PowerShell で電子メール送信者のエントリExchange Online管理する方法について説明します。

はじめに把握しておくべき情報

• 「https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [テナントの許可/ブロック] Listsページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。 [申請] ページに直接移動するには、https://security.microsoft.com/reportsubmissionを使用します。

• Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。

• ドメインとメール アドレスのエントリ制限:

  • Defender for Office 365のない Microsoft 365 組織: 合計で最大 1,000 個のドメインとメール アドレスのエントリ:
    • エントリを許可する: 最大 500 個。
    • ブロック エントリ: 最大 500 個。
  • Defender for Office 365 プラン 1 を持つ Microsoft 365 組織 (アドオン サブスクリプションに含まれるか、またはアドオン サブスクリプションに含まれる): 合計で最大 2,000 個のドメインと電子メール アドレスのエントリ:
    • エントリを許可する: 最大 1,000 個。
    • ブロック エントリ: 最大 1,000 個。
  • Defender for Office 365 プラン 2 を持つ Microsoft 365 組織 (アドオン サブスクリプションに含まれるか、またはアドオン サブスクリプションに含まれる): 合計で最大 15,000 個のドメインとメール アドレスのエントリ:
    • 許可エントリ: 最大 5,000 個。
    • ブロック エントリ: 最大 1,0000。

• スプーフィングされた送信者の場合、許可エントリとブロック エントリの最大数は 1024 です (1024 許可エントリとブロック エントリなし、512 許可エントリ、512 ブロック エントリなど)。

• スプーフィングされた送信者のエントリが期限切れになることはありません。

• ドメインからの受信メールと送信メール、そのドメイン内のサブドメイン、およびそのドメイン内の電子メール アドレスをブロックするには、 *.TLDという構文を使用してブロック エントリを作成します。 TLD は、任意の最上位ドメイン、内部ドメイン、または電子メール アドレス ドメインにすることができます。

• ドメイン内のサブドメインとそのサブドメイン内の電子メール アドレスからの受信および送信メールをブロックするには、内部ドメインと電子メール アドレス ドメインの *.SD1.TLD、 *.SD2.SD1.TLD、 *.SD3.SD2.SD1.TLDなどの構文を使用してブロック エントリを作成します。

• スプーフィングされた送信者エントリの構文の詳細については、この記事の後半の「 スプーフィングされた送信者エントリのドメイン ペア構文 」セクションを参照してください。

• エントリは 5 分以内にアクティブにする必要があります。

• この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。

  • Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションがEmail &場合>Defender for Office 365アクセス許可はアクティブです。PowerShell ではなく Defender ポータルにのみ影響します。

    • テナントの許可/ブロックリスト: 次のアクセス許可を持つメンバーシップが割り当てられているエントリを追加および削除します。
      • 承認と設定/セキュリティ設定/検出のチューニング (管理)
    • テナント許可/ブロック リストへの読み取り専用アクセス:
      • 承認と設定/セキュリティ設定/読み取り専用。
      • 承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り)。

  • Exchange Onlineアクセス許可:

    • テナント許可/ブロック リスト: 次のいずれかの役割グループのメンバーシップのエントリを追加および削除します。
      • 組織の管理 または セキュリティ管理者 (セキュリティ管理者ロール)。
      • セキュリティ オペレーター (テナント AllowBlockList Manager ロール): このアクセス許可は、https://admin.exchange.microsoft.com>Roles>管理 ロールの Exchange 管理センターで直接割り当てられている場合にのみ機能します。
    • テナント許可/ブロック リストへの読み取り専用アクセス: 次のいずれかの役割グループのメンバーシップ。
      • グローバル リーダー
      • セキュリティ閲覧者
      • "View-Only Configuration/表示専用構成"
      • View-Only Organization Management

  • Microsoft Entraアクセス許可: グローバル管理者^*、セキュリティ管理者、グローバル 閲覧者、またはセキュリティ 閲覧者ロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可をユーザーに付与します。

    重要

    ^* Microsoft では、最小限の特権の原則を強くお勧めします。 アカウントにタスクを実行するために必要な最小限のアクセス許可のみを割り当てることは、セキュリティ リスクを軽減し、organizationの全体的な保護を強化するのに役立ちます。 グローバル管理者は、非常に特権の高いロールであり、緊急シナリオや別のロールを使用できない場合に制限する必要があります。

[テナントの許可/ブロック] リストのドメインと電子メール アドレス

ドメインとメール アドレスの許可エントリを作成する

不要な許可エントリは、システムがフィルター処理する悪意のある電子メールにorganizationを公開するため、テナント許可/ブロック リストで許可エントリを直接作成するための制限があります。

ドメインとメール アドレスの許可エントリを作成するには、次のいずれかの方法を使用します。

• https://security.microsoft.com/reportsubmission?viewid=emailの [送信] ページの [電子メール] タブから。 ブロックされたメッセージがクリーンされていることを確認して送信し、[このメッセージを許可する] を選択すると、[テナントの許可/ブロック] Lists ページの [ドメイン & メール アドレス] タブに送信者の許可エントリが追加されます。 手順については、「 Microsoft に適切なメールを送信する」を参照してください。

  この方法は、マルウェアと信頼度の高いフィッシング判定をオーバーライドするために必要です。

• このセクションの説明に従って、[テナントの許可/ブロックLists] ページまたは PowerShell の [ドメイン & アドレス] タブから。

  このメソッドは、次の判定のみをオーバーライドするために使用できます。

  • バルク
  • スパム
  • 高確度スパム
  • フィッシング (高精度フィッシングではない)

Microsoft Defender ポータルを使用して、テナント許可/ブロック 一覧でドメインと電子メール アドレスの許可エントリを作成する

1. https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

2. [テナントの許可/ブロック] Lists ページで、[ドメイン & アドレス] タブが選択されていることを確認します。

3. [ ドメイン & アドレス ] タブで、[ 追加] を選択し、[許可] を選択 します。

4. 開いた [ ドメイン & アドレスの許可 ] ポップアップで、次の設定を構成します。

   • ドメイン & アドレス: 1 行に 1 つのメール アドレスまたはドメインを最大 20 個まで入力します。

   • 許可エントリの削除後: 次の値から選択します。

     • 最終使用日から 45 日後 (既定値)
     • 1 日
     • 7 日間
     • 特定の日付: 最大値は今日から 30 日です。

   • 省略可能な注: メール アドレスまたはドメインを許可する理由を説明するテキストを入力します。

5. [ ドメイン & アドレスのブロック ] ポップアップが完了したら、[ 追加] を選択します。

[ ドメイン] & [電子メール アドレス ] タブに戻り、エントリが一覧表示されます。

PowerShell を使用して、[テナントの許可/ブロック] リストでドメインとメール アドレスの許可エントリを作成する

PowerShell Exchange Onlineで、次の構文を使用します。

New-TenantAllowBlockListItems -ListType Sender -Allow -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" [-RemoveAfter 45] [-Notes <String>]

次の使用例は、指定したメール アドレスの許可エントリを追加します。 ExpirationDate パラメーターまたは RemoverAfter パラメーターを使用しなかったため、エントリは最後に使用した日付から 45 日後に期限切れになります。

New-TenantAllowBlockListItems -ListType Sender -Allow -Entries "test@gooddomain.com","test2@gooddomain.com"

構文とパラメーターの詳細については、「 New-TenantAllowBlockListItems」を参照してください。

ドメインとメール アドレスのブロック エントリを作成する

ドメインとメール アドレスのブロック エントリを作成するには、次のいずれかの方法を使用します。

• https://security.microsoft.com/reportsubmission?viewid=emailの [送信] ページの [電子メール] タブから。 脅威であることを確認してメッセージを送信すると、[この送信者またはドメインのすべてのメールをブロックする] を選択して、[テナントの許可/ブロック] Lists ページの [ドメイン & メール アドレス] タブにブロック エントリを追加できます。 手順については、「 疑わしいメールを Microsoft に報告する」を参照してください。

• このセクションの説明に従って、[テナントの許可/ブロックLists] ページまたは PowerShell の [ドメイン & アドレス] タブから。

スプーフィングされた送信者のブロック エントリを作成するには、この記事の後半のセクションを参照してください。

これらのブロックされた送信者からのEmailは、高信頼フィッシングとしてマークされ、検疫されます。

Microsoft Defender ポータルを使用して、テナント許可/ブロック 一覧でドメインとメール アドレスのブロック エントリを作成する

1. https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

2. [テナントの許可/ブロック] Lists ページで、[ドメイン & アドレス] タブが選択されていることを確認します。

3. [ ドメイン & アドレス ] タブで、[ 追加] を選択し、[ ブロック] を選択します。

4. 開いた [ ドメイン & アドレスのブロック ] ポップアップで、次の設定を構成します。

   • ドメイン & アドレス: 1 行に 1 つのメール アドレスまたはドメインを最大 20 個まで入力します。

   • 後のブロック エントリの削除: 次の値から選択します。

     • 1 日
     • 7 日間
     • 30 日 (既定値)
     • 有効期限なし
     • 特定の日付: 最大値は今日から 90 日です。

   • 省略可能なメモ: メール アドレスまたはドメインをブロックする理由を説明するテキストを入力します。

5. [ ドメイン & アドレスのブロック ] ポップアップが完了したら、[ 追加] を選択します。

[ ドメイン] & [電子メール アドレス ] タブに戻り、エントリが一覧表示されます。

PowerShell を使用して、テナント許可/ブロック 一覧でドメインとメール アドレスのブロック エントリを作成する

PowerShell Exchange Onlineで、次の構文を使用します。

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "DomainOrEmailAddress1","DomainOrEmailAddress1",..."DomainOrEmailAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

次の使用例は、特定の日付に有効期限が切れる指定したメール アドレスのブロック エントリを追加します。

New-TenantAllowBlockListItems -ListType Sender -Block -Entries "test@badattackerdomain.com","test2@anotherattackerdomain.com" -ExpirationDate 8/20/2022

構文とパラメーターの詳細については、「 New-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、[テナントの許可/ブロック] リストでドメインとメール アドレスのエントリを表示する

https://security.microsoft.comのMicrosoft Defender ポータルで、[ルール] セクションの [ポリシー & ルール>[ポリシー>テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

[ ドメイン & アドレス ] タブが選択されていることを確認します。

[ ドメイン & アドレス ] タブで、使用可能な列ヘッダーをクリックしてエントリを並べ替えることができます。 次の列を使用できます。

• 値: ドメインまたはメール アドレス。
• アクション: [許可] または [ブロック] の値。
• オーバーライド判定: 使用可能な値は次のとおりです。
  • ブロック エントリのマルウェアまで。
  • テナント許可/ブロックリストで直接作成された許可エントリに対する通常の信頼度フィッシングまで。
  • 送信を介して作成されたエントリを許可するための信頼度の高いフィッシングまで。 申請を介して作成されたエントリを許可すると、直接作成された許可エントリが自動的に更新されます。
• 変更したユーザー
• 最終更新日時
• 最終使用日: 判定を上書きするためにフィルター システムでエントリが最後に使用された日付。
• 削除日: 有効期限。
• Notes

エントリをフィルター処理するには、[Filter] を選択します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。

• アクション: 値は [許可] と [ブロック] です。
• 有効期限なし: または
• 最終更新日: [ 開始日 ] と [ 終了日] を 選択します。
• 最後に使用された日付: [ 開始日 ] と [ 終了日] を 選択します。
• [削除日] : [ 開始日 ] と [ 終了日] を 選択します。
• 変更者: 不完全または完全なメール アドレスを指定して検索します。

[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。

検索ボックスと対応する値を使用して、特定のエントリを検索します。

エントリをグループ化するには、[ グループ ] を選択し、[アクション] を選択 します。 エントリのグループ化を解除するには、[ なし] を選択します。

PowerShell を使用して、[テナントの許可/ブロック] リストでドメインとメール アドレスのエントリを表示する

PowerShell Exchange Onlineで、次の構文を使用します。

Get-TenantAllowBlockListItems -ListType Sender [-Allow] [-Block] [-Entry <Domain or Email address value>] [<-ExpirationDate Date | -NoExpiration>]

この例では、ドメインとメール アドレスのすべての許可エントリとブロック エントリを返します。

Get-TenantAllowBlockListItems -ListType Sender

次の使用例は、ドメインとメール アドレスのブロック エントリの結果をフィルター処理します。

Get-TenantAllowBlockListItems -ListType Sender -Block

構文とパラメーターの詳細については、「 Get-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、テナントの許可/ブロック リスト内のドメインと電子メール アドレスのエントリを変更する

既存のドメインとメール アドレスのエントリでは、有効期限とメモを変更できます。

1. https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

2. [ ドメイン & アドレス ] タブが選択されていることを確認します。

3. [ドメイン & アドレス] タブで、最初の列の横にある [チェック] ボックスを選択して一覧からエントリを選択し、表示される [][編集] アクションを選択します。

4. 開いた [ ドメイン & アドレスの編集 ] ポップアップで、次の設定を使用できます。

   • ブロック エントリ:
     • 後のブロック エントリの削除: 次の値から選択します。
       • 1 日
       • 7 日間
       • 30 日間
       • 有効期限なし
       • 特定の日付: 最大値は今日から 90 日です。
     • 省略可能なメモ
   • エントリを許可する:
     • 許可エントリの削除後: 次の値から選択します。
       • 1 日
       • 7 日間
       • 30 日間
       • 最終使用日から 45 日後
       • 特定の日付: 最大値は今日から 30 日です。
     • 省略可能なメモ

   [ ドメイン & アドレスの編集 ] ポップアップが完了したら、[保存] を選択 します。

PowerShell を使用して、[テナントの許可/ブロック] リストのドメインと電子メール アドレスのエントリを変更する

PowerShell Exchange Onlineで、次の構文を使用します。

Set-TenantAllowBlockListItems -ListType Sender <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

次の使用例は、送信者の電子メール アドレスの指定されたブロック エントリの有効期限を変更します。

Set-TenantAllowBlockListItems -ListType Sender -Entries "julia@fabrikam.com" -ExpirationDate "9/1/2022"

構文とパラメーターの詳細については、「 Set-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、テナントの許可/ブロック リストからドメインとメール アドレスのエントリを削除する

1. https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

2. [ ドメイン & アドレス ] タブが選択されていることを確認します。

3. [ ドメイン & アドレス ] タブで、次のいずれかの手順を実行します。

   • 最初の列の横にある [チェック] ボックスを選択して、一覧からエントリを選択し、表示される [削除] アクションを選択します。

   • [チェック] ボックス以外の行の任意の場所をクリックして、一覧からエントリを選択します。 開いた詳細ポップアップで、ポップアップの上部にある [ 削除 ] を選択します。

     ヒント

     • 詳細ポップアップを残さずに他のエントリの詳細を表示するには、ポップアップの上部にある Previous 項目 と 次の項目 を使用します。
     • 各チェックボックスを選択して複数のエントリを選択するか、[値] 列ヘッダーの横にある [チェック] ボックスを選択して、すべてのエントリを選択できます。

4. 開いた警告ダイアログで、[削除] を選択 します。

[ ドメイン & アドレス ] タブに戻ると、エントリは一覧に表示されなくなります。

PowerShell を使用して、テナント許可/ブロック リストからドメインとメール アドレスのエントリを削除する

PowerShell Exchange Onlineで、次の構文を使用します。

Remove-TenantAllowBlockListItems -ListType Sender `<-Ids <Identity value> | -Entries <Value>>

次の使用例は、ドメインと電子メール アドレスの指定されたエントリをテナント許可/ブロック リストから削除します。

Remove-TenantAllowBlockListItems -ListType Sender -Entries "adatum.com"

構文とパラメーターの詳細については、「 Remove-TenantAllowBlockListItems」を参照してください。

テナント許可/ブロック一覧のなりすまし送信者

スプーフィング インテリジェンス分析情報で判定を上書きすると、なりすまし送信者は、[テナントの許可/ブロック] Lists ページの [なりすまし送信者] タブにのみ表示される手動の許可またはブロックエントリになります。

なりすまし送信者の許可エントリを作成する

なりすまし送信者の許可エントリを作成するには、次のいずれかの方法を使用します。

• https://security.microsoft.com/reportsubmission?viewid=emailの [送信] ページの [電子メール] タブから。 手順については、「 Microsoft に適切なメールを送信する」を参照してください。
  • スプーフィング インテリジェンスによって検出およびブロックされたメッセージを送信すると、[テナントの許可/ブロックリスト] の [なりすまし送信者] タブに、なりすまし送信者の許可エントリが追加されます。
  • スプーフィング インテリジェンスが送信者を検出してブロックしなかった場合、Microsoft にメッセージを送信しても、テナント許可/ブロックリストに送信者の許可エントリは作成されません。
• 送信者がスプーフィング インテリジェンスによって検出され、ブロックされた場合は、https://security.microsoft.com/spoofintelligenceのスプーフィング インテリジェンス分析情報ページから。 手順については、「 スプーフィング インテリジェンスの判定をオーバーライドする」を参照してください。
  • スプーフィング インテリジェンス分析情報で判定を上書きすると、なりすまし送信者は、[テナントの許可/ブロック] Lists ページの [なりすまし送信者] タブにのみ表示される手動エントリになります。
• このセクションの説明に従って、[テナントの許可/ブロックLists] ページまたは PowerShell の [なりすまし送信者] タブから。

Microsoft Defender ポータルを使用して、テナント許可/ブロック リストでなりすまし送信者の許可エントリを作成する

テナント許可/ブロックリストでは、スプーフィング インテリジェンスが検出してブロックする前に、 なりすまし 送信者の許可エントリを作成できます。

1. https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

2. [テナントの許可/ブロックLists] ページで、[なりすまし送信者] タブを選択します。

3. [ なりすまし送信者 ] タブで、[ 追加] を選択します。

4. 開いた [ 新しいドメイン ペアの追加] ポップアップで、次の設定を構成します。

   • ワイルドカードを使用してドメイン ペアを追加する: 1 行あたり最大 20 個のドメイン ペアを入力します。 スプーフィングされた送信者エントリの構文の詳細については、この記事の後半の「 スプーフィングされた送信者エントリのドメイン ペア構文 」セクションを参照してください。

   • スプーフィングの種類: 次のいずれかの値を選択します。

     • 内部: なりすまし送信者は、organization (承認済みドメイン) に属するドメイン内にあります。
     • 外部: スプーフィングされた送信者が外部ドメインにあります。

   • アクション: [ 許可] または [ ブロック] を選択します。

   [ 新しいドメイン ペアの追加] ポップアップが完了したら、[追加] を選択 します。

[ なりすまし送信者 ] タブに戻ると、エントリが一覧表示されます。

PowerShell を使用して、テナント許可/ブロック リストでなりすまし送信者の許可エントリを作成する

PowerShell Exchange Onlineで、次の構文を使用します。

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

次の使用例は、ソース contoso.com から送信者 bob@contoso.com の許可エントリを作成します。

New-TenantAllowBlockListSpoofItems -Identity Default -Action Allow -SendingInfrastructure contoso.com -SpoofedUser bob@contoso.com -SpoofType External

構文とパラメーターの詳細については、「 New-TenantAllowBlockListSpoofItems」を参照してください。

なりすまし送信者のブロック エントリを作成する

なりすまし送信者のブロック エントリを作成するには、次のいずれかの方法を使用します。

• https://security.microsoft.com/reportsubmission?viewid=emailの [送信] ページの [電子メール] タブから。 手順については、「 疑わしいメールを Microsoft に報告する」を参照してください。
• https://security.microsoft.com/spoofintelligenceのスプーフィング インテリジェンス分析情報ページから、送信者がスプーフィング インテリジェンスによって検出され、許可された場合。 手順については、「 スプーフィング インテリジェンスの判定をオーバーライドする」を参照してください。
  • スプーフィング インテリジェンス分析情報で判定を上書きすると、なりすまし送信者は、[テナントの許可/ブロック] Lists ページの [なりすまし送信者] タブにのみ表示される手動エントリになります。
• このセクションの説明に従って、[テナントの許可/ブロックLists] ページまたは PowerShell の [なりすまし送信者] タブから。

Microsoft Defender ポータルを使用して、テナント許可/ブロック 一覧でなりすまし送信者のブロック エントリを作成する

この手順は、この記事で既に説明 したように、なりすまし送信者の許可エントリを作成 する場合とほぼ同じです。

唯一の違いは、手順 4 の [アクション ] の値で、[許可] ではなく [ ブロック ] を選択 することです。

PowerShell を使用して、テナント許可/ブロック 一覧でなりすまし送信者のブロック エントリを作成する

PowerShell Exchange Onlineで、次の構文を使用します。

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SpoofedUser <Domain | EmailAddress> -SendingInfrastructure <Domain | IPAddress/24> -SpoofType <External | Internal>

次の使用例は、ソース 172.17.17.17/24 から送信者 laura@adatum.com のブロック エントリを作成します。

New-TenantAllowBlockListSpoofItems -Identity Default -Action Block -SendingInfrastructure 172.17.17.17/24 -SpoofedUser laura@adatum.com -SpoofType External

構文とパラメーターの詳細については、「 New-TenantAllowBlockListSpoofItems」を参照してください。

Microsoft Defender ポータルを使用して、テナント許可/ブロック リストでなりすまし送信者のエントリを表示する

https://security.microsoft.comのMicrosoft Defender ポータルで、[ルール] セクションの [ポリシー & ルール>[ポリシー>テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

[ なりすまし送信者 ] タブが選択されていることを確認します。

[ なりすまし送信者 ] タブで、使用可能な列ヘッダーをクリックしてエントリを並べ替えることができます。 次の列を使用できます。

• なりすましユーザー
• 送信インフラストラクチャ
• スプーフィングの種類: 使用可能な値は 内部 または 外部です。
• アクション: 使用可能な値は [ブロック] または [許可] です。

エントリをフィルター処理するには、[Filter] を選択します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。

• アクション: 使用可能な値は [許可] と [ブロック] です。
• スプーフィングの種類: 使用可能な値は 内部 と 外部です。

[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。

検索ボックスと対応する値を使用して、特定のエントリを検索します。

エントリをグループ化するには、[ Group ] を選択し、次のいずれかの値を選択します。

• 操作
• スプーフィングの種類

エントリのグループ化を解除するには、[ なし] を選択します。

PowerShell を使用して、テナントの許可/ブロックリストでなりすまし送信者のエントリを表示する

PowerShell Exchange Onlineで、次の構文を使用します。

Get-TenantAllowBlockListSpoofItems [-Action <Allow | Block>] [-SpoofType <External | Internal>

次の使用例は、テナント許可/ブロック リスト内のすべてのスプーフィングされた送信者エントリを返します。

Get-TenantAllowBlockListSpoofItems

この例では、内部のすべての許可なりすまし送信者エントリを返します。

Get-TenantAllowBlockListSpoofItems -Action Allow -SpoofType Internal

次の使用例は、外部のすべてのブロックされたなりすまし送信者エントリを返します。

Get-TenantAllowBlockListSpoofItems -Action Block -SpoofType External

構文とパラメーターの詳細については、「 Get-TenantAllowBlockListSpoofItems」を参照してください。

Microsoft Defender ポータルを使用して、テナント許可/ブロック 一覧のなりすまし送信者のエントリを変更する

[テナントの許可/ブロック] リストでスプーフィングされた送信者の許可またはブロック エントリを変更する場合は、エントリを [許可] から [ ブロック] に変更するか、またはその逆にのみ変更できます。

1. https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

2. [ なりすまし送信者 ] タブを選択します。

3. 最初の列の横にある [チェック] ボックスを選択して、一覧からエントリを選択し、表示される [][編集] アクションを選択します。

4. 開 いた [なりすまし送信者の編集 ] ポップアップで、[ 許可] または [ ブロック] を選択し、[保存] を選択 します。

PowerShell を使用して、テナント許可/ブロック リストのなりすまし送信者のエントリを変更する

PowerShell Exchange Onlineで、次の構文を使用します。

Set-TenantAllowBlockListSpoofItems -Identity Default -Ids <Identity value> -Action <Allow | Block>

次の使用例は、指定したスプーフィングされた送信者エントリを許可エントリからブロック エントリに変更します。

Set-TenantAllowBlockListItems -Identity Default -Ids 3429424b-781a-53c3-17f9-c0b5faa02847 -Action Block

構文とパラメーターの詳細については、「 Set-TenantAllowBlockListSpoofItems」を参照してください。

Microsoft Defender ポータルを使用して、テナント許可/ブロック リストからなりすまし送信者のエントリを削除する

1. https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

2. [ なりすまし送信者 ] タブを選択します。

3. [なりすまし送信者] タブで、最初の列の横にある [チェック] ボックスを選択して一覧からエントリを選択し、表示される [削除] アクションを選択します。

   ヒント

   各チェックボックスを選択して複数のエントリを選択することも、なりすましユーザー列ヘッダーの横にある [チェック] ボックスを選択してすべてのエントリを選択することもできます。

4. 開いた警告ダイアログで、[削除] を選択 します。

PowerShell を使用して、なりすまし送信者のエントリをテナント許可/ブロック リストから削除する

PowerShell Exchange Onlineで、次の構文を使用します。

Remove-TenantAllowBlockListSpoofItems -Identity ___domain.com\Default -Ids <Identity value>

Remove-TenantAllowBlockListSpoofItems -Identity ___domain.com\Default -Ids d86b3b4b-e751-a8eb-88cc-fe1e33ce3d0c

この例では、指定したなりすまし送信者を削除します。 Ids パラメーター値は、コマンドの出力の Identity プロパティから取得 Get-TenantAllowBlockListSpoofItems。

構文とパラメーターの詳細については、「 Remove-TenantAllowBlockListSpoofItems」を参照してください。

スプーフィングされた送信者エントリのドメイン ペア構文

テナント許可/ブロック リストのスプーフィングされた送信者のドメイン ペアは、次の構文を使用します: <Spoofed user>, <Sending infrastructure>。

• スプーフィングされたユーザー: この値には、メール クライアントの [ 差 出人] ボックスに表示されるスプーフィングされたユーザーのメール アドレスが含まれます。 このアドレスは、 5322.From または P2 送信者アドレスとも呼ばれます。 有効な値は次のとおりです。

  • 個々のメール アドレス (たとえば、 chris@contoso.com)。
  • 電子メール ドメイン (たとえば、contoso.com)。
  • ワイルドカード文字 (*)。

• 送信インフラストラクチャ: この値は、スプーフィングされたユーザーからのメッセージのソースを示します。 有効な値は次のとおりです。

  • ソース メール サーバーの IP アドレス (たとえば、fabrikam.com) の逆引き DNS 参照 (PTR レコード) で見つかったドメイン。
  • 送信元 IP アドレスに PTR レコードがない場合、送信インフラストラクチャは、<発信元 IP>/24 (たとえば、192.168.100.100/24) として識別されます。
  • 検証済みの DKIM ドメイン。
  • ワイルドカード文字 (*)。

スプーフィングされた送信者を識別するための有効なドメイン ペアの例を次に示します。

• contoso.com, 192.168.100.100/24
• chris@contoso.com, fabrikam.com
• *, contoso.net

ドメイン ペアを追加すると、スプーフィングされたユーザーと送信インフラストラクチャの組み合わせのみが許可またはブロックされます。 たとえば、次のドメイン ペアの許可エントリを追加します。

• ドメイン: gmail.com
• 送信インフラストラクチャ: tms.mx.com

スプーフィングできるのは 、 そのドメインからのメッセージと送信インフラストラクチャ のペアのみです。 gmail.com のなりすましを試みる他の送信者は許可されません。 スプーフィング インテリジェンスは、tms.mx.com から発信された他のドメインの送信者からのメッセージをチェックします。

偽装されたドメインまたは送信者について

Defender for Office 365のフィッシング対策ポリシーによって偽装ユーザーまたは偽装ドメインとして検出されたメッセージの許可エントリをテナント許可/ブロック リストに作成することはできません。

https://security.microsoft.com/reportsubmission?viewid=emailの [申請] ページの [電子メール] タブで偽装として誤ってブロックされたメッセージを送信しても、テナント許可/ブロック リストに送信者またはドメインが許可エントリとして追加されることはありません。

代わりに、ドメインまたは送信者は、メッセージを検出したフィッシング対策ポリシーの [信頼された送信者とドメイン] セクションに追加されます。

偽装誤検知の提出手順については、「 Microsoft に適切なメールを報告する」を参照してください。

関連記事

• [申請] ページを使用して、疑わしいスパム、フィッシング、URL、正当なメールの受信がブロックされ、電子メールの添付ファイルを Microsoft に送信します
• 誤検知と偽陰性を報告する
• テナントの許可/ブロック一覧で許可とブロックを管理する
• テナントの許可/ブロックリストでファイルを許可またはブロックする
• テナントの許可/ブロックリストで URL を許可またはブロックする
• [テナントの許可/ブロック] リストで IPv6 アドレスを許可またはブロックする