从“受限实体”页中删除被阻止的用户

提示

你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

在 Microsoft 365 个组织中邮箱位于 Exchange Online 或独立Exchange Online Protection (EOP) 组织中没有Exchange Online邮箱的组织中,如果用户超出服务的出站发送限制出站垃圾邮件策略中的限制,则会发生以下几种情况:

  • 用户被限制发送电子邮件,但他们仍然可以接收电子邮件。

  • 用户将添加到Microsoft Defender门户中的“受限实体”页。

    受限实体用户帐户连接器,由于存在泄露迹象而被阻止发送电子邮件,这通常包括超过邮件接收和发送限制。

  • 如果用户尝试发送电子邮件,则会在未送达的报告中返回邮件 (也称为 NDR 或退回邮件) ,错误代码 为 5.1.8 和以下文本:

“你的邮件无法送达,因为系统认为你不是有效的发件人。 这种情形最常见的原因是怀疑你的电子邮件地址正在发送垃圾邮件,且不再允许它发送电子邮件。 请联系电子邮件管理员获取帮助。 远程服务器返回“550 5.1.8 拒绝访问,错误出站发件人”。

有关已泄露的用户帐户以及如何重新获得其控制权的详细信息,请参阅 响应已泄露的电子邮件帐户

本文中的过程介绍了管理员如何从Microsoft Defender门户或 PowerShell Exchange Online“受限实体”页中删除用户帐户。

有关受攻击 的连接器 以及如何从 “受限实体 ”页中删除它们的详细信息,请参阅 从“受限实体”页中删除阻止的连接器

开始前,有必要了解什么?

  • 在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到 受限用户 页,请使用 https://security.microsoft.com/restrictedusers

  • 若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell

  • 需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:

    • Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为活动。仅影响 Defender 门户,而不影响 PowerShell) :授权和设置/安全设置/核心安全设置 (管理) 授权和设置/安全设置/核心安全设置 (读取)

    • Exchange Online权限

      • 从“受限实体”页中删除用户帐户“组织管理 ”或 “安全管理员” 角色组中的成员身份。
      • 对“受限实体”页的只读访问权限“全局读取者”、“ 安全读取者”或 “仅查看组织管理 ”角色组中的成员身份。
    • Microsoft Entra权限全局管理员*安全管理员全局读取者安全读取者角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限权限。

      重要

      * Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

  • 发件人超过出站电子邮件限制是帐户遭到入侵的标志。 在按照本文中的过程从“受限制的实体”页中删除用户之前,请务必按照在 Office 365 中响应已泄露的电子邮件帐户中所述的步骤重新获得对帐户的控制。

从Microsoft Defender门户中的“受限实体”页中删除用户

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,转到Email &协作>查看>受限实体。 或者,若要直接转到 “受限实体 ”页,请使用 https://security.microsoft.com/restrictedentities

  2. “受限实体 ”页上,标识要取消阻止的用户帐户。 Entity 值为 Mailbox

    选择列标题以按该列排序。

    若要将实体列表从普通间距更改为精简间距,请选择“ 将列表间距更改为精简或正常”,然后选择“ 压缩列表”。

    使用“ 搜索 ”框和相应的值查找特定用户。

  3. 选择要取消阻止的用户,方法是选择实体的“检查”框,然后选择页面上显示的“取消阻止”操作。

  4. 在打开的 “取消阻止用户 ”浮出控件中,在 “概述 ”页上阅读有关受限帐户的详细信息。 验证是否已完成 “建议 ”部分中的建议,以确认帐户未泄露或重新获得对帐户的控制。

    完成“ 概述 ”页后,选择“ 下一步”。

  5. “取消阻止用户”页上,考虑建议,并使用 “多重身份验证 ”和 “更改密码 ”部分中的链接 来启用 MFA重置用户的密码 (如果尚未执行这些步骤)。 启用 MFA 和重置密码是防止将来帐户泄露的良好防御措施。

    在“ 取消阻止用户”页上完成操作后,选择“ 提交”。

  6. 在打开的警告对话框中选择 “是 ”。

    注意

    在大多数情况下,应在一小时内从用户中删除所有限制。 暂时性技术问题可能会导致等待时间延长,但总等待时间不应超过 24 小时。

验证用于受限的用户的警报设置

在阻止用户发送电子邮件时,名为 “用户无法发送电子邮件 ”的默认警报策略会自动通知管理员。 有关警报策略的详细信息,请参阅 Microsoft Defender 门户中的警报策略

重要

若要使警报正常工作,审核日志记录必须处于打开状态, (默认) 启用。 若要验证审核日志记录是否已打开或打开,请参阅 打开或关闭审核

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,转到Email &协作>策略 & 规则>警报策略。 或者,若要直接转到 “警报策略 ”页,请使用 https://security.microsoft.com/alertpoliciesv2

  2. “警报策略 ”页上,找到名为 “用户限制无法发送电子邮件”的警报。 可以按名称对警报进行排序,或使用“ 搜索 ”框查找警报。

    单击行中除名称旁边的“检查”框以外的任意位置,选择“用户已限制发送电子邮件警报”。

  3. 在“ 用户限制发送 电子邮件”浮出控件中打开、验证或配置以下设置:

    • 状态:验证警报是否已 打开。

    • 展开 “设置收件人”部分 ,并验证“ 收件人 ”和 “每日通知”限制 值。

      若要更改值,请在部分选择“ 编辑收件人设置 ”或选择浮出控件顶部的“ 编辑策略 ”。

      • 在打开的向导的“ 决定是否要在触发此警报时通知用户 ”页上,验证或更改以下设置:

        • 验证是否选择了“选择加入电子邮件通知”。
        • Email收件人:默认值为 TenantAdmins 组 (全局管理员成员) 。 若要添加更多收件人,请单击框的空白区域。 此时会显示收件人列表,你可以开始键入姓名以筛选和选择收件人。 通过选择现有收件人的姓名,从框中删除 现有收件人。
        • 每日通知限制:默认值为 “无限制”。

        完成“ 确定是否要在触发此警报时通知人员 ”页后,选择“ 下一步”。

      • 在“ 查看设置” 页上,选择“ 提交”,然后选择“ 完成”。

  4. 返回到 “用户无法发送电子邮件 ”浮出控件,选择 浮出控件顶部。

使用 Exchange Online PowerShell 查看和删除“受限实体”页中的用户

若要查看此受限制无法发送电子邮件的用户列表,请在 PowerShell Exchange Online 运行以下命令:

Get-BlockedSenderAddress

若要查看特定用户的详细信息,请将 <emailaddress> 替换为相应用户的电子邮件地址,并运行以下命令:

Get-BlockedSenderAddress -SenderAddress <emailaddress> | Format-List

若要详细了解语法和参数,请参阅 Get-BlockedSenderAddress

若要从受限用户列表中删除用户,请将 emailaddress> 替换为<其电子邮件地址,并运行以下命令:

Remove-BlockedSenderAddress -SenderAddress <emailaddress>

若要详细了解语法和参数,请参阅 Remove-BlockedSenderAddress

更多信息