Fjern blokerede brugere fra siden Begrænsede enheder
Tip
Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.
I Microsoft 365-organisationer med postkasser i Exchange Online eller enkeltstående EOP-organisationer (Exchange Online Protection) uden Exchange Online postkasser sker der flere ting, hvis en bruger overskrider tjenestens grænser for udgående afsendelse eller grænserne for udgående spampolitikker:
Brugeren er begrænset til at sende mail, men vedkommende kan stadig modtage mail.
Brugeren føjes til siden Begrænsede enheder på portalen Microsoft Defender.
En begrænset enhed er en brugerkonto eller en connector , der er blokeret fra at sende mail på grund af indikationer på kompromis, som typisk omfatter overskridelse af grænserne for modtagelse og afsendelse af meddelelser.
Hvis brugeren forsøger at sende en mail, returneres meddelelsen i en rapport om manglende levering (også kendt som en NDR- eller bounce-meddelelse) med fejlkoden 5.1.8 og følgende tekst:
"Meddelelsen kunne ikke leveres, fordi du ikke blev genkendt som en gyldig afsender. Den mest almindelige årsag til dette er, at din mailadresse er mistænkt for at sende spam, og det er ikke længere tilladt at sende e-mail. Kontakt din mailadministrator for at få hjælp. Fjernserveren returnerede '550 5.1.8 Adgang nægtet, ugyldig udgående afsender."
Du kan få flere oplysninger om kompromitterede brugerkonti, og hvordan du får kontrol over dem igen, under Besvarelse af en kompromitteret mailkonto.
Procedurerne i denne artikel beskriver, hvordan administratorer kan fjerne brugerkonti fra siden Begrænsede enheder på Microsoft Defender-portalen eller i Exchange Online PowerShell.
Du kan få flere oplysninger om kompromitterede connectors , og hvordan du fjerner dem fra siden Begrænsede enheder , under Fjern blokerede connectors fra siden Begrænsede enheder.
Hvad har du brug for at vide, før du begynder?
Du åbner portalen Microsoft Defender på https://security.microsoft.com. Hvis du vil gå direkte til siden Begrænsede brugere , skal du bruge https://security.microsoft.com/restrictedusers.
Hvis du vil oprette forbindelse til Exchange Online PowerShell, skal du se Opret forbindelse til Exchange Online PowerShell.
Du skal have tildelt tilladelser, før du kan udføre procedurerne i denne artikel. Du har følgende muligheder:
Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC) (Hvis mail & samarbejde>Defender for Office 365 tilladelser er aktive. Påvirker kun Defender-portalen, ikke PowerShell: Godkendelses- og indstillinger/Sikkerhedsindstillinger/Kernesikkerhedsindstillinger (administrer) eller Godkendelses- og indstillinger/Sikkerhedsindstillinger/Kernesikkerhedsindstillinger (læs).
-
- Fjern brugerkonti fra siden Begrænsede enheder: Medlemskab i rollegrupperne Organisationsadministration eller Sikkerhedsadministrator .
- Skrivebeskyttet adgang til siden Begrænsede enheder: Medlemskab af rollegrupperne Global læser, Sikkerhedslæser eller Vis kun organisationsadministration .
Microsoft Entra tilladelser: Rollerne Global administrator*, Sikkerhedsadministrator, Global læser eller Sikkerhedslæser giver brugerne de nødvendige tilladelser og tilladelser til andre funktioner i Microsoft 365.
Vigtigt!
* Microsoft anbefaler, at du bruger roller med færrest tilladelser. Brug af konti med lavere tilladelser hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.
En afsender, der overskrider grænserne for udgående mail, er en indikator for en kompromitteret konto. Før du følger procedurerne i denne artikel for at fjerne en bruger fra siden Begrænsede enheder, skal du sørge for at følge de påkrævede trin for at få kontrol over kontoen igen, som beskrevet i Besvarelse af en kompromitteret mailkonto i Office 365.
Fjern en bruger fra siden Begrænsede enheder på portalen Microsoft Defender
I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & samarbejde>Gennemse>begrænsede enheder. Du kan også gå direkte til siden Begrænsede enheder ved at bruge https://security.microsoft.com/restrictedentities.
Identificer brugerkontoen på siden Begrænsede enheder for at fjerne blokeringen. Værdien entity er Mailbox.
Vælg en kolonneoverskrift, der skal sorteres efter den pågældende kolonne.
Hvis du vil ændre listen over enheder fra normal til kompakt afstand, skal du vælge Skift listeafstand til kompakt eller normal og derefter vælge Kompakt liste.
Brug søgefeltet og en tilsvarende værdi til at finde bestemte brugere.
Vælg den bruger, der skal fjernes blokeringen, ved at markere afkrydsningsfeltet for enheden, og vælg derefter handlingen Fjern blokering , der vises på siden.
I pop op-vinduet Fjern blokering af brugere , der åbnes, skal du læse oplysningerne om den begrænsede konto på siden Oversigt . Bekræft, at du har gennemgået forslagene i afsnittet Anbefalinger for at bekræfte, at kontoen ikke kompromitteres, eller for at få kontrol over kontoen igen.
Når du er færdig på siden Oversigt , skal du vælge Næste.
På siden Fjern blokering af bruger skal du overveje anbefalingerne og bruge linkene i sektionerne Multifaktorgodkendelse og Skift adgangskode til at aktivere MFA og nulstille brugerens adgangskode , hvis du ikke allerede har udført disse trin. Aktivering af MFA og nulstilling af adgangskoden er et godt forsvar mod fremtidig kompromitteret konto.
Når du er færdig på siden Fjern blokering af bruger, skal du vælge Send.
Vælg Ja i den advarselsdialogboks, der åbnes.
Bemærk!
Under de fleste omstændigheder skal alle begrænsninger fjernes fra brugeren inden for én time. Midlertidige tekniske problemer kan medføre en længere ventetid, men den samlede ventetid bør ikke være længere end 24 timer.
Kontrollér beskedindstillingerne for begrænsede brugere
Standardbeskedpolitikken med navnet Bruger, der er begrænset til at sende mail , giver automatisk administratorer besked, når brugerne er blokeret fra at sende mail. Du kan få flere oplysninger om politikker for beskeder under Beskedpolitikker på portalen Microsoft Defender.
Vigtigt!
Hvis beskeder skal fungere, skal overvågningslogføring være slået til (den er som standard slået til). Hvis du vil kontrollere, at overvågningslogføring er slået til, eller hvis du vil aktivere den, skal du se Slå overvågning til eller fra.
På Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & politikker for samarbejde>& regler>Beskedpolitik. Du kan også gå direkte til siden Beskedpolitik ved at bruge https://security.microsoft.com/alertpoliciesv2.
På siden Beskedpolitik skal du finde beskeden med navnet Bruger, der ikke kan sende mail. Du kan sortere beskederne efter navn eller bruge søgefeltet til at finde beskeden.
Vælg den bruger, der har begrænset adgang til at sende en mailbesked , ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for navnet.
I pop op-vinduet Bruger, der er begrænset til at sende mails , der åbnes, skal du bekræfte eller konfigurere følgende indstillinger:
Status: Kontrollér, at beskeden er slået til .
Udvid afsnittet Angiv dine modtagere , og bekræft grænseværdierne for modtagere og daglige beskeder .
Hvis du vil ændre værdierne, skal du vælge Rediger modtagerindstillinger i sektionen eller vælge Rediger politik øverst i pop op-vinduet.
På siden Beslut, om du vil give personer besked, når denne besked udløses , i den guide, der åbnes, skal du kontrollere eller ændre følgende indstillinger:
- Kontrollér, at Tilmelding for mailmeddelelser er valgt.
- Mailmodtagere: Standardværdien er lejeradministratorgruppen (medlemmer af global administrator ). Hvis du vil tilføje flere modtagere, skal du klikke i feltets tomme område. Der vises en liste over modtagere, og du kan begynde at skrive et navn for at filtrere og vælge en modtager. Fjern en eksisterende modtager fra feltet ved at vælge ud for vedkommendes navn.
- Grænse for daglig meddelelse: Standardværdien er Ingen grænse.
Når du er færdig på siden Beslut, om du vil give personer besked, når denne besked udløses , skal du vælge Næste.
På siden Gennemse dine indstillinger skal du vælge Send og derefter vælge Udført.
Tilbage i pop op-vinduet Bruger, der er begrænset til at sende mail , skal du vælge øverst i pop op-vinduet.
Brug Exchange Online PowerShell til at få vist og fjerne brugere fra siden Begrænsede enheder
Hvis du vil have vist denne liste over brugere, der ikke kan sende mails, skal du køre følgende kommando i Exchange Online PowerShell:
Get-BlockedSenderAddress
Hvis du vil have vist detaljer om en bestemt bruger, skal du erstatte <mailadressen> med vedkommendes mailadresse og køre følgende kommando:
Get-BlockedSenderAddress -SenderAddress <emailaddress> | Format-List
Du kan finde detaljerede oplysninger om syntaks og parametre under Get-BlockedSenderAddress.
Hvis du vil fjerne en bruger fra listen Begrænsede brugere, skal du erstatte <mailadressen> med vedkommendes mailadresse og køre følgende kommando:
Remove-BlockedSenderAddress -SenderAddress <emailaddress>
Du kan finde detaljerede oplysninger om syntaks og parametre under Remove-BlockedSenderAddress.