みなさま、こんにちは!町端です。
今回は、Microsoft Defender for Office 365(以下、MDO)の「テナント許可/ブロックリスト」のテナント許可リストを管理者が手動で追加する方法をご案内します。
また、2月の Microsoft 公開情報からセキュリティ関連の情報もピックアップしましたので、合わせてご紹介します。
- ※当ブログにて記載しております Microsoft 社の Web サイトの URL については、Microsoft 社側のリダイレクトの仕組みにより、お客様の閲覧環境に沿ったページに自動的にリダイレクトされることがございます。
原文を参照される場合は、リダイレクトされた URL の ja-jp などの文字列を en-us に変更することで閲覧いただけます。
MDO の「テナント許可/ブロックリスト」のテナント許可リストを管理者が手動で追加してみた
「テナント許可/ブロックリスト」は、Microsoft Defender ポータルで提供される機能で、Defender for Office 365 または Exchange Online Protection(EOP)フィルタリングの判定を手動でオーバーライドできるセキュリティツールです。管理者はこのリストを使用して、ドメイン、メールアドレス、URL、ファイル、IP アドレスを許可またはブロックすることが可能です。
これまで、管理者はブロックリストに対象のドメインやメールアドレスなどを追加することができましたが、許可リストに追加するには、Microsoft に申請を行い、審査、承認される必要がありました。
2025年3月の新機能として、Microsoft への分析申請を必要とせず、管理者が許可リストに値を追加できるようになりました。追加手順をポータルを用いてご案内します。
※ 「ファイル - 許可」のみ、Microsoft に分析申請が必要です。
テナント許可リストの追加方法
1. Microsoft Defender ポータル(https://security.microsoft.com)を起動します。
2. [メールとコラボレーション] > [ポリシーとルール] >[脅威ポリシー] をクリックします。
3. [テナント許可/禁止リスト] をクリックします。
4. [ドメインとアドレス] タブにて、[+追加] > [許可] をクリックします。
下表に管理者が追加できるものをまとめました。
「ファイル - 許可」のみ、Microsoft に分析申請をする手順となります。
左右にスクロールしてご覧ください。
| タブ名 | 許可 | ブロック |
|---|---|---|
| ドメインとアドレス | ○ | ○ |
| なりすましの送信者 | ○ | ○ |
| URL | ○ | ○ |
| ファイル | Microsoft に分析の申請が必要 | ○ |
| IP アドレス | ○ | ○ |
5. 許可するドメイン/アドレス情報を入力します。
6. 「次の期間の経過後に許可エントリを削除する」にて、許可エントリの保持期間を選択し、[追加]をクリックします。無期限に許可エントリを残すことはできません。
※ 「特定の日付」は設定日から30日後までの期間内で指定することが可能です。
7. エントリが追加されました。
「判定を上書きする」に設定されている通り、許可されるのは、「通常の確度のフィッシングまで」となります。
「通常の確度のフィッシング」を超えるマルウェアや高確度のフィッシングについては、ブロックされます。
手順は以上です。
まとめ
テナント許可リストを管理者が手動で追加できることによって、Microsoft の分析結果を待つことなく、テナント全体の設定ができ、迅速な対応が可能になります。
もちろん、事前に安全な情報であることが分かっていることが前提になりますが、グループ企業など信頼できるテナント情報などを迅速に登録できるのは良い機能ではないでしょうか。
引き続き、2月度の Microsoft 公開情報をご確認ください!
Microsoft 公開情報
Microsoft Blog の更新からセキュリティに関する気になる項目をピックアップしてご紹介します。
Microsoft 365 で信頼またはブロックされた差出人の問題を診断する
Diagnose Safe/Blocked Senders Issues in Microsoft 365
- Exchange Online Protection および Microsoft Defender for Office 365 では、ユーザーが差出人を管理する方法としてセーフリスト、ブロックリストが提供されています。
今回、メールボックスの差出人セーフ/ブロックリストの診断機能がリリースされました。
診断は管理者が Microsoft 365 管理センターなどの任意の管理センターのヘルプから実行することができます。上記リンク先に、直接診断ページを開くリンクが記載されています。
この診断により、例えばユーザーの差出人セーフリストに登録したにもかかわらず迷惑メールと判定される、といった場合に、Microsoft Entra ID との同期に失敗している、セーフリストの上限に達している、などの原因を調査することが可能となります。
Microsoft Intune 管理デバイス(Windows, iOS/iPadOS, Android and macOS)からアプリをブロックし削除する
Blocking and removing apps on Intune managed devices (Windows, iOS/iPadOS, Android and macOS)
- Microsoft Intune(以下、Intune)で管理されたデバイスから特定のアプリをブロックや削除する手順について、網羅的に記載したガイダンスが提供されています。
例として DeepSeek - AI アシスタントを対象に、アプリのインストールや起動の防止、Web サイトのアクセスのブロックなど、さまざまなアプローチが OS ごとに紹介されており、実践的な内容となっています。
Active Directory 用 Intune コネクタのセキュリティ更新
Microsoft Intune Connector for Active Directory security update
- Windows Autopilot で Microsoft Entra hybrid join を行う場合に構成する Active Directory 用の Intune コネクタについて更新が発表されています。これまでの SYSTEM アカウントではなくマネージドサービスアカウント(MSA)を使用し、最小限の特権で動作するように構成されます。
以前の Active Directory 用の Intune コネクタは2025年5月下旬にサポートが終了します。コネクタの更新は手動で行う必要があります。
さいごに
以上です。
最後までお読みいただきありがとうございました。
