Entfernen blockierter Connectors von der Seite Eingeschränkte Entitäten

• Gilt für:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen EOP-Organisationen (Exchange Online Protection) ohne Exchange Online Postfächer geschieht mehrere Dinge, wenn ein eingehender Connector als potenziell kompromittiert erkannt wird:

• Der Connector wird am Senden oder Weiterleiten von E-Mails gehindert.

• Der Connector wird der Seite Eingeschränkte Entitäten im Microsoft Defender-Portal hinzugefügt.

  Eine eingeschränkte Entität ist ein Benutzerkonto oder ein Connector , der aufgrund von Anzeichen für eine Kompromittierung für das Senden von E-Mails blockiert ist, was in der Regel das Überschreiten von Grenzwerten für den Empfang und das Senden von Nachrichten umfasst.

• Wenn der Connector zum Senden von E-Mails verwendet wird, wird die Nachricht in einem Nichtzustellbarkeitsbericht (auch als NDR oder unzustellbare Nachricht bezeichnet) mit dem Fehlercode 550;5.7.711 und dem folgenden Text zurückgegeben:

Ihre Nachricht konnte nicht zugestellt werden. Der häufigste Grund dafür ist, dass der E-Mail-Connector Ihres organization verdächtigt wird, Spam oder Phishing zu senden, und er darf keine E-Mails mehr senden. Sollten Sie Unterstützung benötigen, wenden Sie sich an Ihren E-Mail-Administrator. Der Remoteserver hat "550" zurückgegeben. 5.7.711 Zugriff verweigert, ungültiger eingehender Connector. AS(2204).

Weitere Informationen zu kompromittierten Connectors und wie Sie die Kontrolle über diese wiedererlangen können, finden Sie unter Reagieren auf einen kompromittierten Connector.

In den Verfahren in diesem Artikel wird erläutert, wie Administratoren Connectors von der Seite Eingeschränkte Entitäten im Microsoft Defender-Portal oder in Exchange Online PowerShell entfernen können.

Weitere Informationen zu kompromittierten Benutzerkonten und deren Entfernung von der Seite Eingeschränkte Entitäten finden Sie unter Entfernen blockierter Benutzer von der Seite Eingeschränkte Entitäten.

Was sollten Sie wissen, bevor Sie beginnen?

• Öffnen Sie das Microsoft Defender-Portal unter https://security.microsoft.com. Um direkt zur Seite Eingeschränkte Entitäten zu wechseln, verwenden Sie https://security.microsoft.com/restrictedentities.

• Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

• Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:

  • Microsoft Defender XDR einheitliche rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (betrifft nur das Defender-Portal, nicht PowerShell): Autorisierung und Einstellungen/Sicherheitseinstellungen/Sicherheitseinstellungen/Erkennungsoptimierung (verwalten) oder Autorisierung und Einstellungen/Sicherheitseinstellungen/Kernsicherheitseinstellungen (lesen).
  • Exchange Online Berechtigungen:
    • Entfernen sie Connectors von der Seite Eingeschränkte Entitäten: Mitgliedschaft in den Rollengruppen Organisationsverwaltung oder Sicherheitsadministrator .
    • Schreibgeschützter Zugriff auf die Seite Eingeschränkte Entitäten: Mitgliedschaft in den Rollengruppen "Globaler Leser", "Sicherheitsleser" oder " Schreibgeschützter Organisationsverwaltung ".
  • Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in den Rollen "Globaler Administrator", "Sicherheitsadministrator", "Globaler Leser" oder "Sicherheitsleseberechtigter" erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365.

• Bevor Sie die Verfahren in diesem Artikel ausführen, um einen Connector von der Seite Eingeschränkte Entitäten zu entfernen, müssen Sie die erforderlichen Schritte ausführen, um die Kontrolle über den Connector wie unter Reagieren auf einen kompromittierten Connector beschrieben wiederzuerlangen.

Entfernen eines Connectors von der Seite Eingeschränkte Entitäten im Microsoft Defender-Portal

1. Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Email & Zusammenarbeit>Eingeschränkte Entitätenüberprüfen>. Oder verwenden Sie https://security.microsoft.com/restrictedentities, um direkt zur Seite Eingeschränkte Entitäten zu wechseln.

2. Identifizieren Sie auf der Seite Eingeschränkte Entitäten den Connector, der entsperrt werden soll. Der Wert der Entität ist Connector.

   Wählen Sie eine Spaltenüberschrift aus, um nach dieser Spalte zu sortieren.

   Wenn Sie die Liste der Entitäten von normal in kompakten Abstand ändern möchten, wählen Sie Listenabstand in komprimieren oder normal ändern und dann Liste komprimieren aus.

   Verwenden Sie das Feld Search und einen entsprechenden Wert, um nach bestimmten Connectors zu suchen.

3. Wählen Sie den Connector aus, der entsperrt werden soll, indem Sie das Kontrollkästchen für die Entität aktivieren und dann die Aktion Blockierung aufheben auswählen, die auf der Seite angezeigt wird.

4. Lesen Sie im daraufhin geöffneten Flyout Entität aufheben die Details zum eingeschränkten Connector. Sie sollten die Empfehlungen durchgehen, um sicherzustellen, dass Sie die richtigen Maßnahmen ergreifen, falls der Connector kompromittiert wird.

   Wenn Sie das Flyout Entität aufheben fertig sind, wählen Sie Blockierung aufheben aus.

   Hinweis

   Es kann bis zu einer Stunde dauern, bis alle Einschränkungen aus dem Connector entfernt wurden.

Überprüfen der Warnungseinstellungen für eingeschränkte Connectors

Die Standardwarnungsrichtlinie mit dem Namen Verdächtige Connectoraktivität benachrichtigt Administratoren automatisch, wenn Connectors am Weiterleiten von E-Mails gehindert werden. Weitere Informationen zu Warnungsrichtlinien finden Sie unter Warnungsrichtlinien im Microsoft Defender-Portal.

Wichtig

Damit Warnungen funktionieren, muss die Überwachungsprotokollierung aktiviert sein (standardmäßig aktiviert). Informationen zum Überprüfen, ob die Überwachungsprotokollierung aktiviert oder aktiviert ist, finden Sie unter Aktivieren oder Deaktivieren der Überwachung.

1. Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien für die Zusammenarbeit>& Regeln>Warnungsrichtlinie. Oder verwenden Sie https://security.microsoft.com/alertpoliciesv2, um direkt zur Seite Warnungsrichtlinie zu wechseln.

2. Suchen Sie auf der Seite Warnungsrichtlinie nach der Warnung verdächtige Connectoraktivität. Sie können die Warnungen nach Namen sortieren oder das feld Search verwenden, um die Warnung zu suchen.

   Wählen Sie die Warnung verdächtige Connectoraktivität aus, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben dem Namen klicken.

3. Überprüfen oder konfigurieren Sie im daraufhin geöffneten Flyout Verdächtige Connectoraktivität die folgenden Einstellungen:

   • Status: Überprüfen Sie, ob die Warnung aktiviert ist.

   • Erweitern Sie den Abschnitt Empfänger festlegen, und überprüfen Sie die Grenzwerte für Empfänger und tägliche Benachrichtigungen .

     Wählen Sie zum Ändern der Werte im Abschnitt Empfängereinstellungen bearbeiten aus, oder klicken Sie oben im Flyout auf Richtlinie bearbeiten.

     • Überprüfen oder ändern Sie auf der Seite Entscheiden, ob Sie Personen benachrichtigen möchten, wenn diese Warnung ausgelöst wird des Assistenten, der geöffnet wird, die folgenden Einstellungen:

       • Vergewissern Sie sich , dass Für E-Mail-Benachrichtigungen aktivieren ausgewählt ist.
       • Email Empfänger: Der Standardwert ist TenantAdmins (d. h. Mitglieder des globalen Administrators). Um weitere Empfänger hinzuzufügen, klicken Sie in den leeren Bereich des Felds. Eine Liste der Empfänger wird angezeigt, und Sie können mit der Eingabe eines Namens beginnen, um einen Empfänger zu filtern und auszuwählen. Entfernen Sie einen vorhandenen Empfänger aus dem Feld, indem Sie neben ihrem Namen auswählen .
       • Tägliches Benachrichtigungslimit: Der Standardwert ist No limit.

       Wenn Sie die Seite Entscheiden, ob Sie Personen benachrichtigen möchten, wenn diese Warnung ausgelöst wird , fertig sind, wählen Sie Weiter aus.

     • Wählen Sie auf der Seite Einstellungen überprüfen die Option Senden und dann Fertig aus.

4. Wählen Sie im Flyout Verdächtige Connectoraktivität die Option oben im Flyout aus.

Verwenden von Exchange Online PowerShell zum Anzeigen und Entfernen von Connectors auf der Seite Eingeschränkte Entitäten

Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um die Liste der Connectors anzuzeigen, für die das Senden von E-Mails eingeschränkt ist:

Get-BlockedConnector

Um Details zu einem bestimmten blockierten Connector anzuzeigen, ersetzen Sie <ConnectorID> durch den GUID-Wert des Connectors, und führen Sie dann den folgenden Befehl aus:

Get-BlockedConnector -ConnectorId <ConnectorID> | Format-List

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-BlockedConnector.

Um einen Connector aus der Liste Eingeschränkte Entitäten zu entfernen, ersetzen Sie <ConnectorID> durch den GUID-Wert des Connectors, und führen Sie dann den folgenden Befehl aus:

Remove-BlockedConnector -ConnectorId <ConnectorID>

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-BlockedConnector.

Weitere Informationen

• Reagieren auf einen kompromittierten Connector
• Blockierte Benutzer entfernen