この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

以下のようなアラートメールが配信された場合の確認点を記載します。

 

テナント許可/禁止リスト：https://security.microsoft.com/tenantAllowBlockList

 

Microsoft 365 Defender 管理画面の「テナント許可/禁止リスト」に登録されたデータには削除日が設定されています。
この削除日が近くなると既定では以下件名のメールが配信されます。
件名：「Informational-severity alert: Tenant Allow/Block List entry is about to expire」
訳：情報-重大度アラート：テナント許可/ブロックリストエントリの有効期限が近づいています

（セキュリティ管理者 ロール グループのメンバーに配信されます）

 

以下記事のように、検疫されたメッセージを解放した際に、以降同じようなメッセージが検疫されないように特定期間メッセージを許可する設定を有効にした場合にも、許可リストが自動登録されているケースがあります。

参考：Defenderのテナント許可/禁止リストに検疫解放データが自動登録される

 

アラートに対して特に更新を行わない場合、削除日以降に特定期間メッセージを許可する（もしくは禁止する）設定データは削除されますが、検出機能が改善されていれば次回以降は検疫されない想定となります。本記載メンバーの運用としては、既定の30日を保持基準として様子を見る運用としています。業務内容や環境にもよりますが、参考にいただければ幸いです。