從 [受限制的實體] 頁面移除封鎖的連接器
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
在Microsoft 365 個 Exchange Online 或獨立 Exchange Online Protection (EOP) 組織沒有 Exchange Online 信箱的組織中,如果偵測到輸入連接器可能遭到入侵,就會發生幾件事:
連接器無法傳送或轉送電子郵件。
連接器會新增至 Microsoft Defender 入口網站中的 [受限實體] 頁面。
受限制的實體是使用者帳戶或連接器,由於入侵的指示而無法傳送電子郵件,這通常包括超出訊息接收和傳送限制。
如果連接器用來傳送電子郵件,則會在非傳遞報表中傳回訊息, (也稱為 NDR 或彈跳訊息) 錯誤碼
550;5.7.711
和下列文字:
無法傳遞您的訊息。 最常見的原因是貴組織的電子郵件連接器懷疑傳送垃圾郵件或網路釣魚,且不再允許傳送電子郵件。 請連絡您的電子郵件系統管理員以取得協助。 遠端伺服器傳回 '550;5.7.711 拒絕存取,輸入連接器不正確。 AS (2204) .'
如需有關遭入侵連接器以及如何重新取得其控制權的詳細資訊,請參閱 回應遭入侵的連接器。
本文中的程式說明系統管理員如何從 Microsoft Defender 入口網站的 [受限制的實體] 頁面或在 Exchange Online PowerShell 中移除連接器。
如需有關遭入侵 的用戶帳戶 ,以及如何從 [ 受限制的實體 ] 頁面移除它們的詳細資訊,請參閱 從 [受限制的實體] 頁面移除封鎖的使用者。
開始之前有哪些須知?
在開啟 Microsoft Defender 入口網站。https://security.microsoft.com 若要直接移至 [ 受限制的實體] 頁面,請使用 https://security.microsoft.com/restrictedentities。
若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。
您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:
Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) ( 如果 Email & 共同作業>適用於 Office 365 的 Defender 許可權為作用中。只會影響 Defender 入口網站,而不會影響 PowerShell) :授權和設定/安全性設定/偵測調整 (管理) 或 (讀取) 的授權和設定/安全性設定/核心安全性設定。
-
- 從 [受限制的實體] 頁面移除連接器: 組織管理 或 安全性系統管理員 角色群組中的成員資格。
- [受限制的實體] 頁面的唯讀存取權: 全域讀取者、 安全性讀取者或 僅限檢視組織管理 角色群組中的成員資格。
Microsoft Entra 權限:全域管理員、安全性系統管理員*、全域讀取者或安全性讀取者角色的成員資格,可為使用者提供Microsoft 365 中其他功能的必要許可權和許可權。
重要事項
* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
依照本文中的程式從 [ 受限制的實體 ] 頁面移除連接器之前,請務必遵循必要的步驟重新取得連接器的控制權,如 回應遭入侵的連接器中所述。
從 Microsoft Defender 入口網站的 [受限制的實體] 頁面移除連接器
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 Email & 共同作業>檢閱>受限制的實體。 或者,若要直接移至 [ 受限制的實體] 頁面,請使用 https://security.microsoft.com/restrictedentities。
在 [ 受限制的實體] 頁面上,識別要解除封鎖的連接器。 實體值為 Connector。
選取要依該數據行排序的數據行標頭。
若要將實體清單從一般變更為精簡間距,請選取 [將列表間距變更為精簡或正常],然後選取 [壓縮清單]。
使用 [ 搜尋] 方塊和對應的值來尋找特定連接器。
選取實體的複選框,然後選取頁面上顯示的 [ 解除封鎖 ] 動作,以選取要解除封鎖的連接器。
在開啟的 [解除封鎖實體 ] 飛出視窗中,閱讀受限制連接器的詳細數據。 您應該逐一查看建議,以確保在連接器遭入侵時採取適當的動作。
當您在 [ 解除封鎖實體 ] 飛出視窗中完成時,請選取 [ 解除封鎖]。
注意事項
最多可能需要 1 小時的時間,才能從連接器移除所有限制。
確認受限制連接器的警示設定
當連接器遭到封鎖而無法轉送電子郵件時,名為 可疑連接器活動的 預設警示原則會自動通知系統管理員。 如需警示原則的詳細資訊,請參閱 Microsoft Defender 入口網站中的警示原則。
重要事項
若要讓警示能夠運作,必須開啟稽核記錄, (預設為開啟) 。 若要確認稽核記錄已開啟或開啟,請參閱 開啟或關閉稽核。
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 Email & 共同作業>原則 & 規則>警示原則。 或者,若要直接移至 [警示 原則] 頁面,請使用 https://security.microsoft.com/alertpoliciesv2。
在 [ 警示原則] 頁面上,尋找名為 可疑連接器活動的警示。 您可以依名稱排序警示,或使用 [搜尋 ] 方塊來尋找警示。
按兩下名稱旁邊複選框以外的數據列中的任何位置,以選取 可疑的連接器活動 警示。
在開啟的 可疑連接器活動 飛出視窗中,確認或設定下列設定:
狀態:確認警示已開啟 。
展開 [ 設定收件者] 區段 ,並確認 [收件者] 和 [ 每日通知] 限制 值。
若要變更值,請選取區段中的 [編輯收件者設定],或選取飛出視窗頂端的 [編輯原則]。
在開啟精靈的 [ 決定是否要在觸發此警示時通知人員 ] 頁面上,確認或變更下列設定:
- 確認 已選取 [選擇加入電子郵件通知 ]。
- Email 收件者:預設值為 TenantAdmins (全域管理員成員) 。 若要新增更多收件者,請按兩下方塊的空白區域。 收件者清單隨即出現,您可以開始輸入名稱來篩選和選取收件者。 選取其名稱旁邊的 ,從方塊中移除現有的收件者。
- 每日通知限制:預設值為 [無限制]。
當您在 [ 決定是否要在觸發此警示時通知人員 ] 頁面上完成時,請選取 [ 下一步]。
在 [ 檢閱您的設定] 頁面上,選取 [ 提交],然後選取 [ 完成]。
回到 [可疑的連接器活動 ] 飛出視窗,選取 飛出視窗頂端。
使用 Exchange Online PowerShell 從 [受限制的實體] 頁面檢視和移除連接器
若要檢視限制傳送電子郵件的連接器清單,請在 Exchange Online PowerShell 中執行下列命令:
Get-BlockedConnector
若要檢視特定封鎖連接器的詳細數據,請將 ConnectorID> 取代<為連接器的 GUID 值,然後執行下列命令:
Get-BlockedConnector -ConnectorId <ConnectorID> | Format-List
如需詳細的語法和參數資訊,請參閱 Get-BlockedConnector。
若要從 [受限制的實體] 清單中移除連接器,請以連接器的 GUID 值取代 <ConnectorID> ,然後執行下列命令:
Remove-BlockedConnector -ConnectorId <ConnectorID>
如需詳細的語法和參數資訊,請參閱 Remove-BlockedConnector。