次の方法で共有

テナントの許可/ブロックリストを使用して IPv6 アドレスを許可またはブロックする

ヒント

Microsoft Defender for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 サインアップできるユーザーと試用版の条件については、「Microsoft Defender for Office 365 を試す」を参照してください。

クラウド メールボックスを持つすべての組織で、管理者はテナントの許可/ブロックリストで IPv6 アドレスのエントリを作成および管理できます。 テナントの許可/ブロックリストの詳細については、「テナントの許可/ブロックリスト で許可とブロックを管理する」を参照してください

この記事では、管理者が Microsoft Defender ポータルと PowerShell で IPv6 アドレスのエントリExchange Online管理する方法について説明します。

注:

IPv4 範囲はまだサポートされていません。 管理者は、 既定の接続フィルター ポリシーで IPv4 アドレスのエントリを作成および管理できます。

はじめに把握しておくべき情報

  • https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [テナントの許可/ブロック] Listsページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。 [申請] ページに直接移動するには、https://security.microsoft.com/reportsubmissionを使用します。

  • Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。

  • IPv6 アドレスは、次の形式でのみサポートされます。

    • コロン 16 進形式の単一アドレス。 たとえば、2001:0db8:85a3:0000:0000:8a2e:0370:7334 です。
    • 0 圧縮形式の単一アドレス。 たとえば、2001:db8::1 は 2001:0db8:0000:0000:0000:0000:0000:0001 を表します。
    • CIDR IPv6 範囲。 たとえば、2001:0db8::/32 などです。 1 ~ 128 の範囲がサポートされています。

  • IP アドレスのエントリ制限:

    • Defender for Office 365のない Microsoft 365 組織: 最大 1,000 個の合計 IP エントリ:
      • エントリを許可する: 最大 500 個。
      • ブロック エントリ: 最大 500 個。
    • Defender for Office 365 プラン 1 を持つ Microsoft 365 組織 (アドオン サブスクリプションに含まれるか、またはアドオン サブスクリプションに含まれる): 最大 2,000 個の合計 IP エントリ:
      • エントリを許可する: 最大 1,000 個。
      • ブロック エントリ: 最大 1,000 個。
    • Defender for Office 365 プラン 2 を持つ Microsoft 365 組織 (アドオン サブスクリプションに含まれるか): 最大 15,000 個の合計 IP エントリ:
      • 許可エントリ: 最大 5,000 個。
      • ブロック エントリ: 最大 1,0000。

  • エントリは 5 分以内にアクティブにする必要があります。

  • この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。

    • Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションがEmail &場合>Defender for Office 365アクセス許可はアクティブです。PowerShell ではなく Defender ポータルにのみ影響します。

      • テナントの許可/ブロックリスト: 次のアクセス許可を持つメンバーシップが割り当てられているエントリを追加および削除します。
        • 承認と設定/セキュリティ設定/検出のチューニング (管理)
      • テナント許可/ブロック リストへの読み取り専用アクセス:
        • 承認と設定/セキュリティ設定/読み取り専用
        • 承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り)

    • Exchange Onlineアクセス許可:

      • テナント許可/ブロック リスト: 次のいずれかの役割グループのメンバーシップのエントリを追加および削除します。
        • 組織の管理 または セキュリティ管理者 (セキュリティ管理者ロール)。
        • セキュリティ オペレーター (テナント AllowBlockList Manager ロール): このアクセス許可は、https://admin.exchange.microsoft.com>Roles>管理 ロールExchange 管理センターで直接割り当てられている場合にのみ機能します。
      • テナント許可/ブロック リストへの読み取り専用アクセス: 次のいずれかの役割グループのメンバーシップ。
        • グローバル リーダー
        • セキュリティ閲覧者
        • "View-Only Configuration/表示専用構成"
        • View-Only Organization Management

    • Microsoft Entraアクセス許可: グローバル管理者*、セキュリティ管理者グローバル 閲覧者、またはセキュリティ 閲覧者ロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可アクセス許可をユーザーに付与します。

      重要

      * Microsoft では、最小限の特権の原則を強くお勧めします。 アカウントにタスクを実行するために必要な最小限のアクセス許可のみを割り当てることは、セキュリティ リスクを軽減し、organizationの全体的な保護を強化するのに役立ちます。 グローバル管理者は、非常に特権の高いロールであり、緊急シナリオや別のロールを使用できない場合に制限する必要があります。

IPv6 アドレスの許可エントリを作成する

許可エントリは、指定された送信 IP アドレスの IP フィルターのみをオーバーライドします。

このセクションの説明に従って、IPv6 アドレスの許可エントリをテナント許可/ブロック リストで直接作成できます。

Microsoft Defender ポータルを使用して、テナント許可/ブロック 一覧で IPv6 アドレスの許可エントリを作成する

  1. https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

  2. [テナントの許可/ブロックLists] ページで、[IP アドレス] タブを選択します。

  3. [ IP アドレス ] タブで、[ Allow] を選択します。

  4. 開いた [ IP アドレスの許可] ポップアップで、次の設定を構成します。

    • [IP アドレスの追加]: 1 行に最大 20 個の IP アドレスを入力します。

    • 許可エントリの削除後: 次の値から選択します。

      • 1 日
      • 7 日間
      • 30 日間
      • 有効期限なし (既定値)
      • 特定の日付: 最大値は今日から 90 日です。

    • 省略可能な注意: IP アドレスを許可する理由を説明するテキストを入力します。

    [ IP アドレスの許可] ポップアップが完了したら、[ 追加] を選択します。

[ IP アドレス ] タブに戻ると、エントリが一覧表示されます。

PowerShell を使用して、テナント許可/ブロック リストで IPv6 アドレスの許可エントリを作成する

PowerShell Exchange Onlineで、次の構文を使用します。

New-TenantAllowBlockListItems -ListType IP -Allow -Entries "IPAddress1","IPAddress2",..."IPAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

次の使用例は、期限切れになることのない指定された IP アドレスの許可エントリを追加します。

New-TenantAllowBlockListItems -ListType IP -Allow -Entries "2001:db8:3333:4444:5555:6666:7777:8882" -NoExpiration

構文とパラメーターの詳細については、「 New-TenantAllowBlockListItems」を参照してください。

IPv6 アドレスのブロック エントリを作成する

このセクションの説明に従って、IPv6 アドレスのブロック エントリをテナント許可/ブロック リストで直接作成できます。

ブロック エントリ内の IPv6 アドレスからの受信メール メッセージは、サービスのエッジでブロックされます。

Microsoft Defender ポータルを使用して、テナント許可/ブロック 一覧で IPv6 アドレスのブロック エントリを作成する

  1. https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

  2. [テナントの許可/ブロックLists] ページで、[IP アドレス] タブを選択します。

  3. [IP アドレス] タブで、[Block] を選択します

  4. 開いた [ IP アドレスのブロック ] ポップアップで、次の設定を構成します。

    • [IP アドレスの追加]: 1 行に最大 20 個の IP アドレスを入力します。

    • 後のブロック エントリの削除: 次の値から選択します。

      • 1 日
      • 7 日間
      • 30 日間
      • 有効期限なし (既定値)
      • 特定の日付: 最大値は今日から 90 日です。

    • 省略可能な注意: IP アドレスをブロックする理由を説明するテキストを入力します。

    [ IP アドレスのブロック ] ポップアップが完了したら、[ 追加] を選択します。

[ IP アドレス ] タブに戻ると、エントリが一覧表示されます。

PowerShell を使用して、テナント許可/ブロック 一覧で IPv6 アドレスのブロック エントリを作成する

PowerShell Exchange Onlineで、次の構文を使用します。

New-TenantAllowBlockListItems -ListType IP -Block -Entries "IPAddress1","IPAddress2",..."IPAddressN" <-ExpirationDate Date | -NoExpiration> [-Notes <String>]

次の使用例は、期限切れになることのない指定された IP アドレスのブロック エントリを追加します。

New-TenantAllowBlockListItems -ListType IP -Block -Entries "2001:db8:3333:4444:5555:6666:7777:8882" -NoExpiration

構文とパラメーターの詳細については、「 New-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、テナント許可/ブロック 一覧で IPv6 アドレスのエントリを表示する

https://security.microsoft.comのMicrosoft Defender ポータルで、[ルール] セクションの [ポリシー & ルール>[ポリシー>テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

[ IP アドレス ] タブを選択します。

[ IP アドレス ] タブで、使用可能な列ヘッダーをクリックしてエントリを並べ替えることができます。 次の列を使用できます。

  • : IP アドレス。
  • アクション: 使用可能な値は [許可] または [ブロック] です
  • 変更したユーザー
  • 最終更新日時
  • 最終使用日: 判定を上書きするためにフィルター システムでエントリが最後に使用された日付。
  • 削除日: 有効期限。
  • Notes

エントリをフィルター処理するには、[Filter] を選択します。 開いた [ フィルター] ポップアップでは、次のフィルターを使用できます。

  • アクション: 使用可能な値は [許可] と [ブロック] です
  • 有効期限なし: または
  • 最終更新日: [ 開始日 ] と [ 終了日] を 選択します。
  • 最後に使用された日付: [ 開始日 ] と [ 終了日] を 選択します。
  • [削除日] : [ 開始日 ] と [ 終了日] を 選択します。
  • 変更者: 不完全または完全なメール アドレスを指定して検索します。

[フィルター] ポップアップが完了したら、[適用] を選択します。 フィルターをクリアするには、[ クリア フィルター] を選択します。

検索ボックスと対応する値を使用して、特定のエントリを検索します。

エントリをグループ化するには、[ グループ ] を選択し、[アクション] を選択 します。 エントリのグループ化を解除するには、[ なし] を選択します。

PowerShell を使用して、テナント許可/ブロック 一覧で IPv6 アドレスのエントリを表示する

PowerShell Exchange Onlineで、次の構文を使用します。

Get-TenantAllowBlockListItems -ListType IP [-Allow] [-Block] [-Entry <IPaddress>] [<-ExpirationDate Date | -NoExpiration>]

この例では、許可された IP アドレスとブロックされた IP アドレスをすべて返します。

Get-TenantAllowBlockListItems -ListType IP

次の使用例は、指定した IP アドレスの情報を返します。

Get-TenantAllowBlockListItems -ListType IP -Entry "2001:db8:3333:4444:5555:6666:7777:8882"

次の使用例は、ブロックされた IP アドレスによって結果をフィルター処理します。

Get-TenantAllowBlockListItems -ListType IP -Block

構文とパラメーターの詳細については、「 Get-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、テナント許可/ブロック 一覧の IPv6 アドレスのエントリを変更する

既存の IP アドレス エントリの場合は、有効期限とメモを変更できます。

  1. https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

  2. [ IP アドレス ] タブを選択します

  3. [IP アドレス] タブで、最初の列の横にある [チェック] ボックスを選択して一覧からエントリを選択し、表示される [][編集] アクションを選択します。

  4. 開いた [IP アドレスの編集] ポップアップで、次の設定を使用できます。

    • ブロック エントリ:
      • 後のブロック エントリの削除: 次の値から選択します。
        • 1 日
        • 7 日間
        • 30 日間
        • 有効期限なし
        • 特定の日付: 最大値は今日から 90 日です。
      • 省略可能なメモ
    • エントリを許可する:
      • 許可エントリの削除後: 次の値から選択します。
        • 1 日
        • 7 日間
        • 30 日間
        • 有効期限なし
        • 特定の日付: 最大値は今日から 30 日です。
      • 省略可能なメモ

    [IP アドレスの編集] ポップアップが完了したら、[保存] を選択します

PowerShell を使用して、テナント許可/ブロック リストの IPv6 アドレスの既存の許可またはブロック エントリを変更する

PowerShell Exchange Onlineで、次の構文を使用します。

Set-TenantAllowBlockListItems -ListType IP <-Ids <Identity value> | -Entries <Value> [<-ExpirationDate Date | -NoExpiration>] [-Notes <String>]

次の使用例は、指定した IP アドレス ブロック エントリの有効期限を変更します。

Set-TenantAllowBlockListItems -ListType IP -Entries "2001:db8:3333:4444:5555:6666:7777:8882" -ExpirationDate "9/1/2024"

構文とパラメーターの詳細については、「 Set-TenantAllowBlockListItems」を参照してください。

Microsoft Defender ポータルを使用して、テナント許可/ブロック リストから IPv6 アドレスのエントリを削除する

  1. https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>[ポリシー>Rules] セクション>[テナントの許可/ブロック] Listsに移動します。 または、[テナントの許可/ブロック] Lists ページに直接移動するには、https://security.microsoft.com/tenantAllowBlockListを使用します。

  2. [ IP アドレス ] タブを選択します。

  3. [ IP アドレス ] タブで、次のいずれかの手順を実行します。

    • 最初の列の横にある [チェック] ボックスを選択して、一覧からエントリを選択し、表示される [削除] アクションを選択します。

    • [チェック] ボックス以外の行の任意の場所をクリックして、一覧からエントリを選択します。 開いた詳細ポップアップで、ポップアップの上部にある [ 削除 ] を選択します。

      ヒント

      詳細ポップアップを残さずに他のエントリの詳細を表示するには、ポップアップの上部にある Previous 項目次の項目 を使用します。

  4. 開いた警告ダイアログで、[削除] を選択 します

[ IP アドレス ] タブに戻ると、エントリは表示されなくなります。

ヒント

各チェックボックスを選択して複数のエントリを選択するか、[] 列ヘッダーの横にある [チェック] ボックスを選択して、すべてのエントリを選択できます。

PowerShell を使用して IPv6 アドレスのエントリをテナント許可/ブロック リストから削除する

PowerShell Exchange Onlineで、次の構文を使用します。

Remove-TenantAllowBlockListItems -ListType IP <-Ids <Identity value> | -Entries <Value>>

次の使用例は、指定した IP アドレス ブロックをテナント許可/ブロック リストから削除します。

Remove-TenantAllowBlockListItems -ListType IP -Entries "2001:db8:3333:4444:5555:6666:7777:8882"

構文とパラメーターの詳細については、「 Remove-TenantAllowBlockListItems」を参照してください。