次の方法で共有


テナント許可/禁止リストを使用してファイルを許可またはブロックする

ヒント

Microsoft Defender for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 サインアップできるユーザーと試用版の条件については、「Microsoft Defender for Office 365 を試す」を参照してください。

クラウド メールボックスを持つすべての組織で、管理者はテナント許可/ブロック リスト内のファイルのエントリを作成および管理できます。 テナントの許可/ブロックリストの詳細については、「テナントの許可/ブロックリスト で許可とブロックを管理する」を参照してください

この記事では、管理者がMicrosoft Defender ポータルと PowerShell でファイルのエントリExchange Online管理する方法について説明します。

はじめに把握しておくべき情報

  • https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [テナントの許可/ブロック] Listsページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。 [申請] ページに直接移動するには、https://security.microsoft.com/reportsubmissionを使用します。

  • Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。

  • ファイルは、ファイルの SHA256 ハッシュ値を使用して指定します。 Windows でファイルの SHA256 ハッシュ値を見つけるには、PowerShell で次のコマンドを実行します。

    Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256
    

    値の例が 768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3a。 知覚ハッシュ (pHash) 値はサポートされていません。

  • ファイルのエントリ制限:

    • Defender for Office 365のない Microsoft 365 組織: 最大 1,000 個のファイル エントリの合計:
      • エントリを許可する: 最大 500 個。
      • ブロック エントリ: 最大 500 個
    • Defender for Office 365 プラン 1 を持つ Microsoft 365 組織 (アドオン サブスクリプションに含まれるか、またはアドオン サブスクリプションに含まれる): 最大 2,000 個のファイル エントリの合計:
      • エントリを許可する: 最大 1,000 個。
      • ブロック エントリ: 最大 1,000 個。
    • Defender for Office 365 プラン 2 を持つ Microsoft 365 組織 (アドオン サブスクリプションに含まれるか): 最大 15,000 個のファイル エントリの合計:
      • 許可エントリ: 最大 5,000 個。
      • ブロック エントリ: 最大 1,0000。
  • ファイル エントリには最大 64 文字を入力できます。

  • エントリは 5 分以内にアクティブにする必要があります。

  • この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。

    • Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションがEmail &場合>Defender for Office 365アクセス許可はアクティブです。PowerShell ではなく Defender ポータルにのみ影響します。

      • テナントの許可/ブロックリスト: 次のアクセス許可を持つメンバーシップが割り当てられているエントリを追加および削除します。
        • 承認と設定/セキュリティ設定/検出のチューニング (管理)
      • テナント許可/ブロック リストへの読み取り専用アクセス:
        • 承認と設定/セキュリティ設定/読み取り専用
        • 承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り)
    • Exchange Onlineアクセス許可:

      • テナント許可/ブロック リスト: 次のいずれかの役割グループのメンバーシップのエントリを追加および削除します。
        • 組織の管理 または セキュリティ管理者 (セキュリティ管理者ロール)。
        • セキュリティ オペレーター (テナント AllowBlockList Manager ロール): このアクセス許可は、https://admin.exchange.microsoft.com>Roles>管理 ロールExchange 管理センターで直接割り当てられている場合にのみ機能します。
      • テナント許可/ブロック リストへの読み取り専用アクセス: 次のいずれかの役割グループのメンバーシップ。
        • グローバル リーダー
        • セキュリティ閲覧者
        • "View-Only Configuration/表示専用構成"
        • View-Only Organization Management
    • Microsoft Entraアクセス許可: グローバル管理者*、セキュリティ管理者グローバル 閲覧者、またはセキュリティ 閲覧者ロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可アクセス許可をユーザーに付与します。

      重要

      * Microsoft では、最小限の特権の原則を強くお勧めします。 アカウントにタスクを実行するために必要な最小限のアクセス許可のみを割り当てることは、セキュリティ リスクを軽減し、organizationの全体的な保護を強化するのに役立ちます。 グローバル管理者は、非常に特権の高いロールであり、緊急シナリオや別のロールを使用できない場合に制限する必要があります。

  • [ファイル] タブは、Microsoft Defender XDRまたはプラン 2 をMicrosoft Defender for Endpointしている組織でのみ、[申請] ページで使用できます。 [ファイル] タブからファイルを送信する方法については、「Microsoft Defender for Endpointでファイルを送信する」を参照してください。

ファイルの許可エントリを作成する

テナントの許可/ブロックリストでファイルの許可エントリを直接作成することはできません。 不要な許可エントリは、システムがフィルター処理する悪意のある電子メールにorganizationを公開します。

代わりに、https://security.microsoft.com/reportsubmission?viewid=emailAttachmentの [申請] ページの [Email添付ファイル] タブを使用します。 ブロックされたファイルがクリーンであることを確認して送信すると、[テナントの許可/ブロック] Lists ページの [ファイル] タブで [このファイルに許可エントリを追加することを許可する] を選択できます。 手順については、「 Microsoft に適切な電子メールの添付ファイルを送信する」を参照してください。

ヒント

送信からの許可エントリは、メッセージが悪意があると判断されたフィルターに基づいて、メール フロー中に追加されます。 たとえば、送信者のメール アドレスとメッセージ内の URL が悪意があると判断された場合、送信者 (メール アドレスまたはドメイン) と URL に対して許可エントリが作成されます。

メール フローまたはクリック時に、許可エントリ内のエンティティを含むメッセージがフィルター 処理スタック内の他のチェックに合格すると、メッセージが配信されます (許可されたエンティティに関連付けられているすべてのフィルターはスキップされます)。 たとえば、メッセージが 電子メール認証チェック、URL フィルタリング、およびファイル フィルタリングに合格した場合、許可された送信者のメール アドレスからのメッセージも許可された送信者からのメッセージである場合に配信されます。

既定では、ドメインと電子メール アドレスファイルURL の許可エントリは、フィルター システムがエンティティがクリーンと判断した後、許可エントリが削除されてから 45 日間保持されます。 または、エントリの作成から最大 30 日後に期限切れになる許可を設定することもできます。 なりすまし送信者のエントリの有効期限が切れないことを許可します。

クリック時に、ファイル許可エントリは、ファイル エンティティに関連付けられているすべてのフィルターをオーバーライドします。これにより、ユーザーはファイルにアクセスできます。

ファイルのブロック エントリを作成する

これらのブロックされたファイルを含むEmailメッセージはマルウェアとしてブロックされます。 ブロックされたファイルを含むメッセージは検疫されます。

ファイルのブロック エントリを作成するには、次のいずれかの方法を使用します。

Microsoft Defender ポータルを使用して、テナント許可/ブロック リスト内のファイルのブロック エントリを作成する

  1. https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

  2. [テナントの許可/ブロックLists] ページで、[ファイル] タブを選択します。

  3. [ ファイル ] タブで、[ 追加] を選択し、[ ブロック] を選択します。

  4. 開いた [ ファイルのブロック ] ポップアップで、次の設定を構成します。

    • ファイル ハッシュの追加: 1 行に 1 つの SHA256 ハッシュ値 (最大 20 個) を入力します。

    • 後のブロック エントリの削除: 次の値から選択します。

      • 1 日
      • 7 日間
      • 30 日 (既定値)
      • 有効期限なし
      • 特定の日付: 最大値は今日から 90 日です。
    • 省略可能な注意: ファイルをブロックする理由を説明するテキストを入力します。

    [ ファイルのブロック ] ポップアップが完了したら、[ 追加] を選択します。

[ ファイル ] タブに戻ると、エントリが一覧表示されます。

PowerShell を使用して、テナント許可/ブロック リスト内のファイルのブロック エントリを作成する

PowerShell Exchange Onlineで、次の構文を使用します。

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "HashValue1","HashValue2",..."HashValueN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

次の使用例は、期限切れになることのない指定されたファイルのブロック エントリを追加します。

New-TenantAllowBlockListItems -ListType FileHash -Block -Entries "768a813668695ef2483b2bde7cf5d1b2db0423a0d3e63e498f3ab6f2eb13ea3","2c0a35409ff0873cfa28b70b8224e9aca2362241c1f0ed6f622fef8d4722fd9a" -NoExpiration

構文とパラメーターの詳細については、「 New-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、テナント許可/ブロック リスト内のファイルのエントリを表示する

https://security.microsoft.comのMicrosoft Defender ポータルで、[ルール] セクションの [ポリシー & ルール>[ポリシー>テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

[ファイル] タブ 選択します。

[ ファイル ] タブで、使用可能な列ヘッダーをクリックしてエントリを並べ替えることができます。 次の列を使用できます。

  • : ファイル ハッシュ。
  • アクション: 使用可能な値は [許可] または [ブロック] です
  • オーバーライド判定: 使用可能な値は、ブロックエントリと許可エントリの両方の マルウェアまで です。
  • 変更したユーザー
  • 最終更新日時
  • 最終使用日: 判定を上書きするためにフィルター システムでエントリが最後に使用された日付。
  • 削除日: 有効期限。
  • Notes

エントリをフィルター処理するには、[Filter] を選択します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。

  • アクション: 使用可能な値は [許可] と [ブロック] です
  • 有効期限なし: または
  • 最終更新日: [ 開始日 ] と [ 終了日] を 選択します。
  • 最後に使用された日付: [ 開始日 ] と [ 終了日] を 選択します。
  • [削除日] : [ 開始日 ] と [ 終了日] を 選択します。
  • 変更者: 不完全または完全なメール アドレスを指定して検索します。

[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。

検索ボックスと対応する値を使用して、特定のエントリを検索します。

エントリをグループ化するには、[ グループ ] を選択し、[アクション] を選択 します。 エントリのグループ化を解除するには、[ なし] を選択します。

PowerShell を使用してテナント許可/ブロック リスト内のファイルのエントリを表示する

PowerShell Exchange Onlineで、次の構文を使用します。

Get-TenantAllowBlockListItems -ListType FileHash [-Allow] [-Block] [-Entry <FileHashValue>] [<-ExpirationDate Date | -NoExpiration>]

次の使用例は、許可およびブロックされたすべてのファイルを返します。

Get-TenantAllowBlockListItems -ListType FileHash

次の使用例は、指定したファイル ハッシュ値の情報を返します。

Get-TenantAllowBlockListItems -ListType FileHash -Entry "9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08"

次の使用例は、ブロックされたファイルによって結果をフィルター処理します。

Get-TenantAllowBlockListItems -ListType FileHash -Block

構文とパラメーターの詳細については、「 Get-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、テナント許可/ブロック リスト内のファイルのエントリを変更する

既存のファイル エントリでは、有効期限とメモを変更できます。

  1. https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

  2. [ファイル] タブ 選択します

  3. [ファイル] タブで、最初の列の横にある [チェック] ボックスを選択して一覧からエントリを選択し、表示される [][編集] アクションを選択します。

  4. 開いた [ファイルの編集] ポップアップで、次の設定を使用できます。

    • ブロック エントリ:
      • 後のブロック エントリの削除: 次の値から選択します。
        • 1 日
        • 7 日間
        • 30 日間
        • 有効期限なし
        • 特定の日付: 最大値は今日から 90 日です。
      • 省略可能なメモ
    • エントリを許可する:
      • 許可エントリの削除後: 次の値から選択します。
        • 1 日
        • 7 日間
        • 30 日間
        • 最終使用日から 45 日後
        • 特定の日付: 最大値は今日から 30 日です。
      • 省略可能なメモ

    [ファイルの編集] ポップアップが完了したら、[保存] を選択します

ヒント

[ ファイル ] タブのエントリの詳細ポップアップで、ポップアップの上部にある View 申請 を使用して、[ 申請 ] ページの対応するエントリの詳細に移動します。 このアクションは、提出がテナント許可/ブロック リスト内のエントリの作成を担当していた場合に使用できます。

PowerShell を使用して、テナント許可/ブロック リスト内のファイルの既存の許可またはブロック エントリを変更する

PowerShell Exchange Onlineで、次の構文を使用します。

Set-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

次の使用例は、指定したファイル ブロック エントリの有効期限を変更します。

Set-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214" -ExpirationDate "9/1/2022"

構文とパラメーターの詳細については、「 Set-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、テナント許可/ブロック リストからファイルのエントリを削除する

  1. https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

  2. [ファイル] タブ 選択します。

  3. [ ファイル ] タブで、次のいずれかの手順を実行します。

    • 最初の列の横にある [チェック] ボックスを選択して、一覧からエントリを選択し、表示される [削除] アクションを選択します。

    • [チェック] ボックス以外の行の任意の場所をクリックして、一覧からエントリを選択します。 開いた詳細ポップアップで、ポップアップの上部にある [ 削除 ] を選択します。

      ヒント

      詳細ポップアップを残さずに他のエントリの詳細を表示するには、ポップアップの上部にある Previous 項目次の項目 を使用します。

  4. 開いた警告ダイアログで、[削除] を選択 します

[ ファイル ] タブに戻ると、エントリは一覧に表示されなくなります。

ヒント

各チェックボックスを選択して複数のエントリを選択するか、[] 列ヘッダーの横にある [チェック] ボックスを選択して、すべてのエントリを選択できます。

PowerShell を使用してテナントの許可/ブロックリストからファイルのエントリを削除する

PowerShell Exchange Onlineで、次の構文を使用します。

Remove-TenantAllowBlockListItems -ListType FileHash <-Ids <Identity value> | -Entries <Value>>

次の使用例は、指定したファイル ブロックをテナント許可/ブロック リストから削除します。

Remove-TenantAllowBlockListItems -ListType FileHash -Entries "27c5973b2451db9deeb01114a0f39e2cbcd2f868d08cedb3e210ab3ece102214"

構文とパラメーターの詳細については、「 Remove-TenantAllowBlockListItems」を参照してください。