从“受限实体”页中删除被阻止的用户
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
在 Microsoft 365 个组织中邮箱位于 Exchange Online 或独立Exchange Online Protection (EOP) 组织中没有Exchange Online邮箱的组织中,如果用户超出服务的出站发送限制或出站垃圾邮件策略中的限制,则会发生以下几种情况:
用户被限制发送电子邮件,但他们仍然可以接收电子邮件。
用户将添加到Microsoft Defender门户中的“受限实体”页。
受限实体是用户帐户或连接器,由于存在泄露迹象而被阻止发送电子邮件,这通常包括超过邮件接收和发送限制。
如果用户尝试发送电子邮件,则会在未送达的报告中返回邮件 (也称为 NDR 或退回邮件) ,错误代码 为 5.1.8 和以下文本:
“你的邮件无法送达,因为系统认为你不是有效的发件人。 这种情形最常见的原因是怀疑你的电子邮件地址正在发送垃圾邮件,且不再允许它发送电子邮件。 请联系电子邮件管理员获取帮助。 远程服务器返回“550 5.1.8 拒绝访问,错误出站发件人”。
有关已泄露的用户帐户以及如何重新获得其控制权的详细信息,请参阅 响应已泄露的电子邮件帐户。
本文中的过程介绍了管理员如何从Microsoft Defender门户或 PowerShell Exchange Online“受限实体”页中删除用户帐户。
有关受攻击 的连接器 以及如何从 “受限实体 ”页中删除它们的详细信息,请参阅 从“受限实体”页中删除阻止的连接器。
开始前,有必要了解什么?
在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到 受限用户 页,请使用 https://security.microsoft.com/restrictedusers。
若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell。
需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:
Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为
活动。仅影响 Defender 门户,而不影响 PowerShell) :授权和设置/安全设置/核心安全设置 (管理) 或授权和设置/安全设置/核心安全设置 (读取) 。-
- 从“受限实体”页中删除用户帐户: “组织管理 ”或 “安全管理员” 角色组中的成员身份。
- 对“受限实体”页的只读访问权限: “全局读取者”、“ 安全读取者”或 “仅查看组织管理 ”角色组中的成员身份。
Microsoft Entra权限:全局管理员*、安全管理员、全局读取者或安全读取者角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限和权限。
重要
* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
发件人超过出站电子邮件限制是帐户遭到入侵的标志。 在按照本文中的过程从“受限制的实体”页中删除用户之前,请务必按照在 Office 365 中响应已泄露的电子邮件帐户中所述的步骤重新获得对帐户的控制。
从Microsoft Defender门户中的“受限实体”页中删除用户
在 Microsoft Defender 门户中https://security.microsoft.com,转到Email &协作>查看>受限实体。 或者,若要直接转到 “受限实体 ”页,请使用 https://security.microsoft.com/restrictedentities。
在 “受限实体 ”页上,标识要取消阻止的用户帐户。 Entity 值为 Mailbox。
选择列标题以按该列排序。
若要将实体列表从普通间距更改为精简间距,请选择“
将列表间距更改为精简或正常”,然后选择“ 
压缩列表”。使用“
搜索 ”框和相应的值查找特定用户。选择要取消阻止的用户,方法是选择实体的“检查”框,然后选择页面上显示的“取消阻止”操作。
在打开的 “取消阻止用户 ”浮出控件中,在 “概述 ”页上阅读有关受限帐户的详细信息。 验证是否已完成 “建议 ”部分中的建议,以确认帐户未泄露或重新获得对帐户的控制。
完成“ 概述 ”页后,选择“ 下一步”。
在 “取消阻止用户”页上,考虑建议,并使用 “多重身份验证 ”和 “更改密码 ”部分中的链接 来启用 MFA 和 重置用户的密码 (如果尚未执行这些步骤)。 启用 MFA 和重置密码是防止将来帐户泄露的良好防御措施。
在“ 取消阻止用户”页上完成操作后,选择“ 提交”。
在打开的警告对话框中选择 “是 ”。
注意
在大多数情况下,应在一小时内从用户中删除所有限制。 暂时性技术问题可能会导致等待时间延长,但总等待时间不应超过 24 小时。
验证用于受限的用户的警报设置
在阻止用户发送电子邮件时,名为 “用户无法发送电子邮件 ”的默认警报策略会自动通知管理员。 有关警报策略的详细信息,请参阅 Microsoft Defender 门户中的警报策略。
重要
若要使警报正常工作,审核日志记录必须处于打开状态, (默认) 启用。 若要验证审核日志记录是否已打开或打开,请参阅 打开或关闭审核。
在 Microsoft Defender 门户中https://security.microsoft.com,转到Email &协作>策略 & 规则>警报策略。 或者,若要直接转到 “警报策略 ”页,请使用 https://security.microsoft.com/alertpoliciesv2。
在 “警报策略 ”页上,找到名为 “用户限制无法发送电子邮件”的警报。 可以按名称对警报进行排序,或使用“
搜索 ”框查找警报。单击行中除名称旁边的“检查”框以外的任意位置,选择“用户已限制发送电子邮件警报”。
在“ 用户限制发送 电子邮件”浮出控件中打开、验证或配置以下设置:
状态:验证警报是否已
打开。展开 “设置收件人”部分 ,并验证“ 收件人 ”和 “每日通知”限制 值。
若要更改值,请在部分选择“
编辑收件人设置 ”或选择浮出控件顶部的“ 编辑策略 ”。在打开的向导的“ 决定是否要在触发此警报时通知用户 ”页上,验证或更改以下设置:
- 验证是否选择了“选择加入电子邮件通知”。
-
Email收件人:默认值为 TenantAdmins 组 (全局管理员成员) 。 若要添加更多收件人,请单击框的空白区域。 此时会显示收件人列表,你可以开始键入姓名以筛选和选择收件人。 通过选择现有收件人的姓名,从框中删除
现有收件人。 - 每日通知限制:默认值为 “无限制”。
完成“ 确定是否要在触发此警报时通知人员 ”页后,选择“ 下一步”。
在“ 查看设置” 页上,选择“ 提交”,然后选择“ 完成”。
返回到 “用户无法发送电子邮件 ”浮出控件,选择
浮出控件顶部。
使用 Exchange Online PowerShell 查看和删除“受限实体”页中的用户
若要查看此受限制无法发送电子邮件的用户列表,请在 PowerShell Exchange Online 运行以下命令:
Get-BlockedSenderAddress
若要查看特定用户的详细信息,请将 <emailaddress> 替换为相应用户的电子邮件地址,并运行以下命令:
Get-BlockedSenderAddress -SenderAddress <emailaddress> | Format-List
若要详细了解语法和参数,请参阅 Get-BlockedSenderAddress。
若要从受限用户列表中删除用户,请将 emailaddress> 替换为<其电子邮件地址,并运行以下命令:
Remove-BlockedSenderAddress -SenderAddress <emailaddress>
若要详细了解语法和参数,请参阅 Remove-BlockedSenderAddress。