Supprimer les utilisateurs bloqués de la page Entités restreintes
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.
Dans les organisations Microsoft 365 avec des boîtes aux lettres dans des organisations Exchange Online ou autonomes Exchange Online Protection (EOP) sans boîtes aux lettres Exchange Online, plusieurs choses se produisent si un utilisateur dépasse les limites d’envoi sortant du service ou les limites des stratégies de courrier indésirable sortant :
L’utilisateur n’est pas autorisé à envoyer des e-mails, mais il peut toujours recevoir des e-mails.
L’utilisateur est ajouté à la page Entités restreintes dans le portail Microsoft Defender.
Une entité restreinte est un compte d’utilisateur ou un connecteur qui n’est pas autorisé à envoyer des e-mails en raison d’indications de compromission, ce qui inclut généralement le dépassement des limites de réception et d’envoi de messages.
Si l’utilisateur tente d’envoyer un e-mail, le message est retourné dans un rapport de non-remise (également appelé notification d’échec de remise ou message de rebond) avec le code d’erreur 5.1.8 et le texte suivant :
«Votre message n’a pas pu être remis parce que vous n’avez pas été reconnu comme expéditeur valide. Le plus souvent, il est possible que votre adresse de messagerie soit susceptible d’envoyer du courrier indésirable et qu’elle ne soit plus autorisée à envoyer du courrier électronique. Contactez votre administrateur de courrier pour obtenir de l’aide. Le serveur distant a renvoyé' 550 5.1.8 accès refusé, expéditeur sortant incorrect».
Pour plus d’informations sur les comptes d’utilisateur compromis et sur la façon de les reprendre en main, consultez Réponse à un compte de messagerie compromis.
Les procédures décrites dans cet article expliquent comment les administrateurs peuvent supprimer des comptes d’utilisateur de la page Entités restreintes dans le portail Microsoft Defender ou dans Exchange Online PowerShell.
Pour plus d’informations sur les connecteurs compromis et sur la façon de les supprimer de la page Entités restreintes , consultez Supprimer les connecteurs bloqués de la page Entités restreintes.
Ce qu'il faut savoir avant de commencer
Vous ouvrez le portail Microsoft Defender à l’adresse https://security.microsoft.com. Pour accéder directement à la page Utilisateurs restreints, utilisez https://security.microsoft.com/restrictedusers.
Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell.
Vous devez disposer d’autorisations pour pouvoir effectuer les procédures décrites dans cet article. Vous avez le choix parmi les options suivantes :
Microsoft Defender XDR le contrôle d’accès en fonction du rôle unifié (RBAC) (si Email & collaboration>Defender for Office 365 autorisations est Active. Affecte uniquement le portail Defender, et non PowerShell) : Autorisation et paramètres/Paramètres de sécurité/Paramètres de sécurité principaux (gérer) ou Autorisation et paramètres/Paramètres de sécurité/Paramètres de sécurité principaux (lecture) .
Exchange Online autorisations :
- Supprimez les comptes d’utilisateur de la page Entités restreintes : appartenance aux groupes de rôles Gestion de l’organisation ou Administrateur de la sécurité .
- Accès en lecture seule à la page Entités restreintes : appartenance aux groupes de rôles Lecteur général, Lecteur de sécurité ou Gestion de l’organisation en affichage seul .
autorisations Microsoft Entra : l’appartenance aux rôles Administrateur* général, Administrateur de la sécurité, Lecteur général ou Lecteur de sécurité donne aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365.
Importante
* Microsoft vous recommande d’utiliser des rôles avec le moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Un expéditeur dépassant la limite du nombre de messages sortants est un indicateur de compte compromis. Avant de suivre les procédures décrites dans cet article pour supprimer un utilisateur de la page Entités restreintes, veillez à suivre les étapes requises pour reprendre le contrôle du compte, comme décrit dans Réponse à un compte de messagerie compromis dans Office 365.
Supprimer un utilisateur de la page Entités restreintes dans le portail Microsoft Defender
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & collaboration>Examiner les>entités restreintes. Ou, pour accéder directement à la page Entités restreintes , utilisez https://security.microsoft.com/restrictedentities.
Dans la page Entités restreintes , identifiez le compte d’utilisateur à débloquer. La valeur de l’entité est Mailbox.
Sélectionnez un en-tête de colonne à trier en fonction de cette colonne.
Pour modifier la liste des entités d’un espacement normal à un espacement compact, sélectionnez Modifier l’espacement de liste en compact ou normal, puis sélectionnez Liste compacte.
Utilisez la zone De recherche et une valeur correspondante pour rechercher des utilisateurs spécifiques.
Sélectionnez l’utilisateur à débloquer en sélectionnant la zone case activée de l’entité, puis en sélectionnant l’action Débloquer qui apparaît sur la page.
Dans le menu volant Débloquer l’utilisateur qui s’ouvre, lisez les détails du compte restreint dans la page Vue d’ensemble . Vérifiez que vous avez suivi les suggestions de la section Recommandations pour confirmer que le compte n’est pas compromis ou pour reprendre le contrôle du compte.
Lorsque vous avez terminé dans la page Vue d’ensemble , sélectionnez Suivant.
Dans la page Débloquer l’utilisateur, tenez compte des recommandations et utilisez les liens dans les sections Authentification multifacteur et Modifier le mot de passe pour Activer l’authentification multifacteur et Réinitialiser le mot de passe de l’utilisateur si vous n’avez pas déjà effectué ces étapes. L’activation de l’authentification multifacteur et la réinitialisation du mot de passe constituent une bonne défense contre la compromission future du compte.
Lorsque vous avez terminé d’accéder à la page Débloquer l’utilisateur, sélectionnez Envoyer.
Sélectionnez Oui dans la boîte de dialogue d’avertissement qui s’ouvre.
Remarque
Dans la plupart des cas, toutes les restrictions doivent être supprimées de l’utilisateur dans un délai d’une heure. Des problèmes techniques temporaires peuvent entraîner un temps d’attente plus long, mais l’attente totale ne doit pas dépasser 24 heures.
Vérifier les paramètres d’alerte pour les utilisateurs restreints
La stratégie d’alerte par défaut nommée Utilisateur restreint l’envoi d’e-mails avertit automatiquement les administrateurs lorsque les utilisateurs ne peuvent pas envoyer des e-mails. Pour plus d’informations sur les stratégies d’alerte, consultez Stratégies d’alerte dans le portail Microsoft Defender.
Importante
Pour que les alertes fonctionnent, la journalisation d’audit doit être activée (elle est activée par défaut). Pour vérifier que la journalisation d’audit est activée ou pour l’activer, consultez Activer ou désactiver l’audit.
Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & Collaboration>Stratégies & règles>Stratégie d’alerte. Ou, pour accéder directement à la page Stratégie d’alerte , utilisez https://security.microsoft.com/alertpoliciesv2.
Dans la page Stratégie d’alerte , recherchez l’alerte nommée Utilisateur restreint à l’envoi d’e-mails. Vous pouvez trier les alertes par nom ou utiliser la zone de recherche pour rechercher l’alerte.
Sélectionnez l’utilisateur autorisé à envoyer une alerte par e-mail en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom.
Dans le menu volant User restricted from sending email qui s’ouvre, vérifiez ou configurez les paramètres suivants :
État : vérifiez que l’alerte est activée .
Développez la section Définir vos destinataires et vérifiez les valeurs de limite des destinataires et des notifications quotidiennes .
Pour modifier les valeurs, sélectionnez Modifier les paramètres du destinataire dans la section ou modifier la stratégie en haut du menu volant.
Dans la page Décider si vous souhaitez avertir les personnes lorsque cette alerte est déclenchée de l’Assistant qui s’ouvre, vérifiez ou modifiez les paramètres suivants :
- Vérifiez que l’option Choisir pour Notifications par e-mail est sélectionnée.
- Email destinataires : la valeur par défaut est le groupe TenantAdmins (membres administrateur général). Pour ajouter d’autres destinataires, cliquez dans la zone vide de la zone. Une liste de destinataires s’affiche et vous pouvez commencer à taper un nom pour filtrer et sélectionner un destinataire. Supprimez un destinataire existant de la zone en sélectionnant en regard de son nom.
- Limite de notification quotidienne : la valeur par défaut est Aucune limite.
Lorsque vous avez terminé sur la page Décider si vous souhaitez avertir les personnes lorsque cette alerte est déclenchée , sélectionnez Suivant.
Dans la page Vérifier vos paramètres , sélectionnez Envoyer, puis Terminé.
De retour dans le menu volant Utilisateur restreint à l’envoi d’e-mails , sélectionnez en haut du menu volant.
Utiliser Exchange Online PowerShell pour afficher et supprimer des utilisateurs de la page Entités restreintes
Pour afficher cette liste d’utilisateurs qui ne peuvent pas envoyer des messages électroniques, exécutez la commande suivante dans Exchange Online PowerShell :
Get-BlockedSenderAddress
Pour afficher les détails d’un utilisateur spécifique, remplacez <emailaddress> par son adresse e-mail, puis exécutez la commande suivante :
Get-BlockedSenderAddress -SenderAddress <emailaddress> | Format-List
Pour des informations détaillées sur la syntaxe et les paramètres, voir Get-BlockedSenderAddress.
Pour supprimer un utilisateur de la liste Utilisateurs restreints, remplacez emailaddress> par <son adresse e-mail et exécutez la commande suivante :
Remove-BlockedSenderAddress -SenderAddress <emailaddress>
Pour des informations détaillées sur la syntaxe et les paramètres, voir Remove-BlockedSenderAddress.