إزالة الموصلات المحظورة من صفحة الكيانات المقيدة

• ينطبق على:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

تلميح

هل تعلم أنه يمكنك تجربة الميزات في Microsoft Defender XDR ل Office 365 الخطة 2 مجانا؟ استخدم الإصدار التجريبي من Defender ل Office 365 لمدة 90 يوما في مركز الإصدارات التجريبية لمدخل Microsoft Defender. تعرف على الأشخاص الذين يمكنهم التسجيل وشروط الإصدار التجريبي هنا.

في مؤسسات Microsoft 365 التي لديها علب بريد في Exchange Online أو مؤسسات Exchange Online Protection المستقلة (EOP) التي لا تحتوي على علب بريد Exchange Online، تحدث عدة أشياء إذا تم الكشف عن موصل وارد على أنه يحتمل أن يكون مخترقا:

• يتم منع الموصل من إرسال البريد الإلكتروني أو ترحيله.

• تتم إضافة الموصل إلى صفحة الكيانات المقيدة في مدخل Microsoft Defender.

  الكيان المقيد هو حساب مستخدم أو موصل محظور من إرسال البريد الإلكتروني بسبب مؤشرات الاختراق، والذي يتضمن عادة تجاوز حدود تلقي الرسائل وإرسالها.

• إذا تم استخدام الموصل لإرسال بريد إلكتروني، يتم إرجاع الرسالة في تقرير عدم التسليم (المعروف أيضا باسم NDR أو رسالة مرتدة) مع رمز 550;5.7.711 الخطأ والنص التالي:

تعذر تسليم رسالتك. السبب الأكثر شيوعا لهذا هو أن موصل البريد الإلكتروني لمؤسستك يشتبه في إرسال البريد العشوائي أو التصيد الاحتيالي ولم يعد مسموحا له بإرسال البريد الإلكتروني. اتصل بمسؤول البريد الإلكتروني للحصول على المساعدة. الخادم البعيد أرجع '550; 5.7.711 تم رفض الوصول، موصل وارد غير جيد. AS(2204).'

لمزيد من المعلومات حول الموصلات المخترقة وكيفية استعادة التحكم فيها، راجع الاستجابة لموصل تم اختراقه.

تشرح الإجراءات الواردة في هذه المقالة كيف يمكن للمسؤولين إزالة الموصلات من صفحة الكيانات المقيدة في مدخل Microsoft Defender أو في Exchange Online PowerShell.

لمزيد من المعلومات حول حسابات المستخدمين المخترقة وكيفية إزالتها من صفحة الكيانات المقيدة ، راجع إزالة المستخدمين المحظورين من صفحة الكيانات المقيدة.

ما الذي تحتاج إلى معرفته قبل أن تبدأ؟

• افتح مدخل Microsoft Defender في https://security.microsoft.com. للانتقال مباشرة إلى صفحة الكيانات المقيدة ، استخدم https://security.microsoft.com/restrictedentities.

• للاتصال ب Exchange Online PowerShell، راجع الاتصال ب Exchange Online PowerShell.

• يجب تعيين أذونات لك قبل أن تتمكن من تنفيذ الإجراءات الواردة في هذه المقالة. لديك الخيارات التالية:

  • التحكم في الوصول الموحد المستند إلى الدور (RBAC) ل Microsoft Defender XDR (إذا كان البريد الإلكتروني & تعاون> أذوناتDefender ل Office 365نشطا. يؤثر على مدخل Defender فقط، وليس PowerShell): التخويل والإعدادات/إعدادات الأمان/ضبط الكشف (إدارة) أو التخويل والإعدادات/إعدادات الأمان/إعدادات الأمان الأساسية (قراءة).

  • أذونات Exchange Online:

    • إزالة الموصلات من صفحة الكيانات المقيدة: العضوية في مجموعات أدوار إدارة المؤسسة أو مسؤول الأمان .
    • الوصول للقراءة فقط إلى صفحة الكيانات المقيدة: العضوية في مجموعات دور القارئ العمومي أو قارئ الأمان أو إدارة المؤسسة للعرض فقط .

  • أذونات Microsoft Entra: تمنح العضوية في أدوار المسؤول^* العام أو مسؤول الأمان أو القارئ العام أو قارئ الأمان المستخدمين الأذونات والأذونات المطلوبة للميزات الأخرى في Microsoft 365.

    هام

    ^* توصي Microsoft باستخدام الأدوار مع أقل الأذونات. يساعد استخدام الحسابات ذات الأذونات المنخفضة على تحسين الأمان لمؤسستك. يعتبر المسؤول العام دورا متميزا للغاية يجب أن يقتصر على سيناريوهات الطوارئ عندما لا يمكنك استخدام دور موجود.

• قبل اتباع الإجراءات الواردة في هذه المقالة لإزالة موصل من صفحة الكيانات المقيدة ، تأكد من اتباع الخطوات المطلوبة لاستعادة التحكم في الموصل كما هو موضح في الاستجابة إلى موصل مخترق.

إزالة موصل من صفحة الكيانات المقيدة في مدخل Microsoft Defender

1. في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى البريد الإلكتروني & التعاون>مراجعة>الكيانات المقيدة. أو، للانتقال مباشرة إلى صفحة الكيانات المقيدة ، استخدم https://security.microsoft.com/restrictedentities.

2. في صفحة الكيانات المقيدة ، حدد الموصل لإلغاء الحظر. قيمة الوحدة هي Connector.

   حدد رأس عمود للفرز حسب هذا العمود.

   لتغيير قائمة الكيانات من التباعد العادي إلى التباعد المضغوط، حدد تغيير تباعد القائمة إلى ضغط أو عادي، ثم حدد ضغط القائمة.

   استخدم مربع البحث والقيمة المقابلة للعثور على موصلات معينة.

3. حدد الموصل لإلغاء الحظر عن طريق تحديد خانة الاختيار للكيان، ثم تحديد إجراء إلغاء الحظر الذي يظهر على الصفحة.

4. في القائمة المنبثقة إلغاء حظر الكيان التي تفتح، اقرأ التفاصيل حول الموصل المقيد. يجب أن تمر بالتوصيات للتأكد من اتخاذك للإجراءات المناسبة في حالة اختراق الموصل.

   عند الانتهاء من القائمة المنبثقة إلغاء حظر الكيان ، حدد إلغاء الحظر.

   ملاحظة

   قد يستغرق الأمر ما يصل إلى ساعة واحدة لإزالة جميع القيود من الموصل.

تحقق من إعدادات التنبيه للموصلات المقيدة

يقوم نهج التنبيه الافتراضي المسمى نشاط الموصل المشبوه بإعلام المسؤولين تلقائيا عند حظر الموصلات من ترحيل البريد الإلكتروني. لمزيد من المعلومات حول نهج التنبيه، راجع نهج التنبيه في مدخل Microsoft Defender.

هام

لكي تعمل التنبيهات، يجب تشغيل تسجيل التدقيق (يتم تشغيله بشكل افتراضي). للتحقق من تشغيل تسجيل التدقيق أو تشغيله، راجع تشغيل التدقيق أو إيقاف تشغيله.

1. في مدخل Microsoft Defender في https://security.microsoft.com، انتقل إلى البريد الإلكتروني & نهج التعاون>& قواعد>نهج التنبيه. أو، للانتقال مباشرة إلى صفحة نهج التنبيه ، استخدم https://security.microsoft.com/alertpoliciesv2.

2. في صفحة نهج التنبيه ، ابحث عن التنبيه المسمى نشاط الموصل المشبوه. يمكنك فرز التنبيهات حسب الاسم، أو استخدام مربع البحث للعثور على التنبيه.

   حدد تنبيه نشاط الموصل المشبوه بالنقر فوق أي مكان في الصف بخلاف خانة الاختيار بجوار الاسم.

3. في القائمة المنبثقة لنشاط الموصل المشبوه التي تفتح الإعدادات التالية، تحقق من الإعدادات التالية أو قم بتكوينها:

   • الحالة: تحقق من تشغيل التنبيه .

   • قم بتوسيع قسم تعيين المستلمين وتحقق من قيم حد الإعلامات اليوميةوالمستلمين.

     لتغيير القيم، حدد تحرير إعدادات المستلم في القسم أو حدد تحرير النهج في أعلى القائمة المنبثقة.

     • في صفحة تحديد ما إذا كنت تريد إعلام الأشخاص عند تشغيل هذا التنبيه من صفحة المعالج الذي يفتح الإعدادات التالية أو يتحقق منها أو يغيرها:

       • تحقق من تحديد الاشتراك في إعلامات البريد الإلكتروني .
       • مستلمو البريد الإلكتروني: القيمة الافتراضية هي TenantAdmins (أعضاء المسؤول العام ). لإضافة المزيد من المستلمين، انقر فوق المنطقة الفارغة من المربع. تظهر قائمة بالمستلمين، ويمكنك البدء في كتابة اسم لتصفية المستلم وتحديده. قم بإزالة مستلم موجود من المربع عن طريق تحديد بجوار اسمه.
       • حد الإعلام اليومي: القيمة الافتراضية هي No limit.

       عند الانتهاء من الصفحة تحديد ما إذا كنت تريد إعلام الأشخاص عند تشغيل هذا التنبيه ، حدد التالي.

     • في صفحة مراجعة الإعدادات، حدد إرسال، ثم حدد تم.

4. مرة أخرى في القائمة المنبثقة نشاط الموصل المشبوه ، حدد في أعلى القائمة المنبثقة.

استخدام Exchange Online PowerShell لعرض الموصلات وإزالتها من صفحة الكيانات المقيدة

لعرض قائمة الموصلات المحظورة من إرسال البريد الإلكتروني، قم بتشغيل الأمر التالي في Exchange Online PowerShell:

Get-BlockedConnector

لعرض تفاصيل حول موصل محظور معين، استبدل <ConnectorID> بقيمة GUID للموصل، ثم قم بتشغيل الأمر التالي:

Get-BlockedConnector -ConnectorId <ConnectorID> | Format-List

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Get-BlockedConnector.

لإزالة موصل من قائمة الكيانات المقيدة، استبدل <ConnectorID> بقيمة GUID للموصل، ثم قم بتشغيل الأمر التالي:

Remove-BlockedConnector -ConnectorId <ConnectorID>

للحصول على معلومات مفصلة حول بناء الجملة والمعلمة، راجع Remove-BlockedConnector.

معلومات إضافية

• الاستجابة إلى موصل مُخترق
• إزالة المستخدمين المحظورين