Usuwanie zablokowanych łączników ze strony Jednostek z ograniczeniami

• Dotyczy:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online lub autonomicznych organizacjach Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych kilka rzeczy dzieje się w przypadku wykrycia łącznika przychodzącego jako potencjalnie zagrożonego:

• Łącznik nie może wysyłać ani przekazywać wiadomości e-mail.

• Łącznik jest dodawany do strony Jednostki z ograniczeniami w portalu Microsoft Defender.

  Jednostka z ograniczeniami to konto użytkownika lub łącznik, któremu zablokowano możliwość wysyłania wiadomości e-mail z powodu oznak naruszenia zabezpieczeń, co zwykle obejmuje przekroczenie limitów odbierania i wysyłania komunikatów.

• Jeśli łącznik jest używany do wysyłania wiadomości e-mail, wiadomość jest zwracana w raporcie o braku dostarczenia (znanym również jako NDR lub odbita wiadomość) z kodem 550;5.7.711 błędu i następującym tekstem:

Nie można dostarczyć wiadomości. Najczęstszą przyczyną jest to, że łącznik poczty e-mail organizacji jest podejrzany o wysyłanie spamu lub phish i nie może już wysyłać wiadomości e-mail. Skontaktuj się z administratorem poczty e-mail, aby uzyskać pomoc. Serwer zdalny zwrócił wartość '550; 5.7.711 Odmowa dostępu, nieprawidłowy łącznik przychodzący. AS(2204)."

Aby uzyskać więcej informacji na temat naruszeń łączników i sposobu odzyskania nad nimi kontroli, zobacz Reagowanie na naruszonym łącznikiem.

Procedury opisane w tym artykule wyjaśniają, jak administratorzy mogą usuwać łączniki ze strony Jednostki z ograniczeniami w portalu Microsoft Defender lub w programie Exchange Online programu PowerShell.

Aby uzyskać więcej informacji na temat kont użytkowników , których zabezpieczenia zostały naruszone, i sposobu ich usuwania ze strony Jednostki z ograniczeniami , zobacz Usuwanie zablokowanych użytkowników ze strony Jednostki z ograniczeniami.

Co należy wiedzieć przed rozpoczęciem?

• Otwórz portal Microsoft Defender pod adresem https://security.microsoft.com. Aby przejść bezpośrednio do strony Jednostki z ograniczeniami , użyj polecenia https://security.microsoft.com/restrictedentities.

• Aby nawiązać połączenie z programem Exchange Online programu PowerShell, zobacz Łączenie z programem PowerShell Exchange Online.

• Aby można było wykonać procedury opisane w tym artykule, musisz mieć przypisane uprawnienia. Masz następujące możliwości:

  • Microsoft Defender XDR ujednolicona kontrola dostępu oparta na rolach (RBAC) (jeśli Email & współpracy>Ochrona usługi Office 365 w usłudze Defender uprawnienia to Aktywne. Dotyczy tylko portalu usługi Defender, a nie programu PowerShell: autoryzacja i ustawienia/Ustawienia zabezpieczeń/Dostrajanie wykrywania (zarządzanie) lub Autoryzacja i ustawienia/Ustawienia zabezpieczeń/Podstawowe ustawienia zabezpieczeń (odczyt).

  • uprawnienia Exchange Online:

    • Usuń łączniki ze strony Jednostki z ograniczeniami: Członkostwo w grupach ról Zarządzanie organizacją lub Administrator zabezpieczeń .
    • Dostęp tylko do odczytu do strony Jednostki z ograniczeniami: członkostwo w grupach ról Czytelnik globalny, Czytelnik zabezpieczeń lub Zarządzanie organizacją tylko do wyświetlania .

  • uprawnienia Microsoft Entra: członkostwo w rolach administratora^* globalnego, administratora zabezpieczeń, czytelnika globalnego lub czytelnika zabezpieczeń zapewnia użytkownikom wymagane uprawnienia i uprawnienia do innych funkcji w usłudze Microsoft 365.

    Ważna

    ^* Firma Microsoft zaleca używanie ról z najmniejszą liczbą uprawnień. Korzystanie z kont o niższych uprawnieniach pomaga zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

• Przed wykonaniem procedur opisanych w tym artykule w celu usunięcia łącznika ze strony Ograniczone jednostki należy wykonać wymagane kroki, aby odzyskać kontrolę nad łącznikiem zgodnie z opisem w temacie Reagowanie na naruszony łącznik.

Usuwanie łącznika ze strony Jednostek z ograniczeniami w portalu Microsoft Defender

1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do strony Email & collaborationReview Restricted entities (Współpraca > Email &— przegląd>ograniczonych jednostek). Aby przejść bezpośrednio do strony Jednostki z ograniczeniami , użyj polecenia https://security.microsoft.com/restrictedentities.

2. Na stronie Ograniczone jednostki zidentyfikuj łącznik do odblokowania. Wartość jednostki to Łącznik.

   Wybierz nagłówek kolumny, aby posortować według tej kolumny.

   Aby zmienić listę jednostek z normalnych na kompaktowe, wybierz pozycję Zmień odstępy między listami na kompaktowe lub normalne, a następnie wybierz pozycję Lista kompaktowa.

   Użyj pola Wyszukiwania i odpowiedniej wartości, aby znaleźć określone łączniki.

3. Wybierz łącznik do odblokowania, zaznaczając pole wyboru jednostki, a następnie wybierając akcję Odblokuj wyświetlaną na stronie.

4. W otwieranym wysuwu jednostki Odblokuj przeczytaj szczegóły dotyczące łącznika z ograniczeniami. Należy przejść przez zalecenia, aby upewnić się, że podejmujesz odpowiednie akcje w przypadku naruszenia zabezpieczeń łącznika.

   Po zakończeniu korzystania z wysuwanej jednostki Odblokuj wybierz pozycję Odblokuj.

   Uwaga

   Usunięcie wszystkich ograniczeń z łącznika może potrwać do 1 godziny.

Weryfikowanie ustawień alertów dla łączników z ograniczeniami

Domyślne zasady alertów o nazwie Podejrzane działanie łącznika automatycznie powiadamiają administratorów, gdy łączniki nie mogą przekazywać wiadomości e-mail. Aby uzyskać więcej informacji na temat zasad alertów, zobacz Zasady alertów w portalu Microsoft Defender.

Ważna

Aby alerty działały, należy włączyć rejestrowanie inspekcji (domyślnie jest włączone). Aby sprawdzić, czy rejestrowanie inspekcji jest włączone lub włączyć, zobacz Włączanie lub wyłączanie inspekcji.

1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do Email & zasad współpracy>& reguł>alertów. Aby przejść bezpośrednio do strony zasad alertu , użyj polecenia https://security.microsoft.com/alertpoliciesv2.

2. Na stronie Zasady alertów znajdź alert o nazwie Podejrzane działanie łącznika. Alerty można posortować według nazwy lub użyć pola Wyszukiwania, aby znaleźć alert.

   Wybierz alert Działania podejrzanego łącznika , klikając dowolne miejsce w wierszu innym niż pole wyboru obok nazwy.

3. W obszarze wysuwowym Działania podejrzanego łącznika , które zostanie otwarte, sprawdź lub skonfiguruj następujące ustawienia:

   • Stan: sprawdź, czy alert jest włączony .

   • Rozwiń sekcję Ustawianie adresatów i sprawdź wartości limitu adresatów i dziennych powiadomień .

     Aby zmienić wartości, wybierz pozycję Edytuj ustawienia adresata w sekcji lub wybierz pozycję Edytuj zasady w górnej części wysuwanego menu.

     • Na stronie Zdecyduj, czy chcesz powiadamiać użytkowników o wyzwoleniu tego alertu kreatora, który otwiera, sprawdź lub zmień następujące ustawienia:

       • Sprawdź , czy wybrano opcję Zgoda na powiadomienia e-mail .
       • Email adresatów: wartość domyślna to TenantAdmins (członkowie administratora globalnego). Aby dodać więcej adresatów, kliknij pusty obszar pola. Zostanie wyświetlona lista adresatów i możesz rozpocząć wpisywanie nazwy w celu filtrowania i wybierania adresata. Usuń istniejącego adresata z pola, wybierając obok jego nazwy.
       • Dzienny limit powiadomień: wartość domyślna to Brak limitu.

       Po zakończeniu na stronie Zdecyduj, czy chcesz powiadamiać użytkowników o wyzwoleniu tego alertu , wybierz przycisk Dalej.

     • Na stronie Przeglądanie ustawień wybierz pozycję Prześlij, a następnie wybierz pozycję Gotowe.

4. Po powrocie do wysuwanego działania podejrzanego łącznika wybierz pozycję w górnej części wysuwanego elementu.

Używanie Exchange Online programu PowerShell do wyświetlania i usuwania łączników ze strony Jednostki z ograniczeniami

Aby wyświetlić listę łączników, które nie mogą wysyłać wiadomości e-mail, uruchom następujące polecenie w programie Exchange Online programu PowerShell:

Get-BlockedConnector

Aby wyświetlić szczegółowe informacje o określonym zablokowanym łączniku, zastąp <parametr ConnectorID> wartością identyfikatora GUID łącznika, a następnie uruchom następujące polecenie:

Get-BlockedConnector -ConnectorId <ConnectorID> | Format-List

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Get-BlockedConnector.

Aby usunąć łącznik z listy Jednostek z ograniczeniami, zastąp <parametr ConnectorID> wartością identyfikatora GUID łącznika, a następnie uruchom następujące polecenie:

Remove-BlockedConnector -ConnectorId <ConnectorID>

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Remove-BlockedConnector.

Więcej informacji

• Reagowanie na łącznik z naruszonymi zabezpieczeniami
• Usuwanie zablokowanych użytkowników