Entfernen blockierter Benutzer von der Seite Eingeschränkte Entitäten

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen EOP-Organisationen (Exchange Online Protection) ohne Exchange Online Postfächer geschieht mehrere Dinge, wenn ein Benutzer die Grenzwerte für ausgehendes Senden des Diensts oder die Grenzwerte in ausgehenden Spamrichtlinien überschreitet:

  • Der Benutzer kann keine E-Mails senden, aber er kann weiterhin E-Mails empfangen.

  • Der Benutzer wird der Seite Eingeschränkte Entitäten im Microsoft Defender-Portal hinzugefügt.

    Eine eingeschränkte Entität ist ein Benutzerkonto oder ein Connector , der aufgrund von Anzeichen für eine Kompromittierung für das Senden von E-Mails blockiert ist, was in der Regel das Überschreiten von Grenzwerten für den Empfang und das Senden von Nachrichten umfasst.

  • Wenn der Benutzer versucht, eine E-Mail zu senden, wird die Nachricht in einem Nichtzustellbarkeitsbericht (auch als NDR oder Unzustellbarkeitsnachricht bezeichnet) mit dem Fehlercode 5.1.8 und dem folgenden Text zurückgegeben:

„Ihre Nachricht konnte nicht übermittelt werden, weil Sie nicht als gültiger Absender erkannt wurden. Der häufigste Grund dafür ist, dass der Verdacht besteht, dass von Ihrer E-Mail-Adresse Spam versandt wurde, und dass deshalb das Senden von E-Mails nicht mehr zugelassen wird. Sollten Sie Unterstützung benötigen, wenden Sie sich an Ihren E-Mail-Administrator. Der Remoteserver hat „550 5.1.8 Zugriff verweigert, ungültiger ausgehender Absender“ zurückgegeben.“

Weitere Informationen zu kompromittierten Benutzerkonten und wie Sie die Kontrolle über diese wiedererlangen können, finden Sie unter Reagieren auf ein kompromittiertes E-Mail-Konto.

In den Verfahren in diesem Artikel wird erläutert, wie Administratoren Benutzerkonten von der Seite Eingeschränkte Entitäten im Microsoft Defender-Portal oder in Exchange Online PowerShell entfernen können.

Weitere Informationen zu kompromittierten Connectors und deren Entfernung von der Seite Eingeschränkte Entitäten finden Sie unter Entfernen blockierter Connectors von der Seite Eingeschränkte Entitäten.

Was sollten Sie wissen, bevor Sie beginnen?

  • Sie öffnen das Microsoft Defender-Portal unter https://security.microsoft.com. Um direkt zur Seite eingeschränkte Benutzer zu wechseln, verwenden Sie https://security.microsoft.com/restrictedusers.

  • Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

  • Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:

    • Microsoft Defender XDR einheitliche rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (betrifft nur das Defender-Portal, nicht PowerShell): Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (verwalten) oder Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (lesen).
    • Exchange Online Berechtigungen:
      • Entfernen sie Benutzerkonten von der Seite Eingeschränkte Entitäten: Mitgliedschaft in den Rollengruppen Organisationsverwaltung oder Sicherheitsadministrator .
      • Schreibgeschützter Zugriff auf die Seite Eingeschränkte Entitäten: Mitgliedschaft in den Rollengruppen "Globaler Leser", "Sicherheitsleser" oder " Schreibgeschützter Organisationsverwaltung ".
    • Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in den Rollen "Globaler Administrator", "Sicherheitsadministrator", "Globaler Leser" oder "Sicherheitsleseberechtigter" erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365.

  • Werden die Grenzwerte für ausgehende E-Mail-Nachrichten von einem Absender überschritten, ist dies ein Hinweis auf ein kompromittiertes Konto. Bevor Sie die Verfahren in diesem Artikel ausführen, um einen Benutzer von der Seite Eingeschränkte Entitäten zu entfernen, müssen Sie die erforderlichen Schritte ausführen, um die Kontrolle über das Konto wie unter Reagieren auf ein kompromittiertes E-Mail-Konto in Office 365 beschrieben wiederzuerlangen.

Entfernen eines Benutzers von der Seite "Eingeschränkte Entitäten" im Microsoft Defender-Portal

Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Email & Zusammenarbeit>Eingeschränkte Entitätenüberprüfen>. Oder verwenden Sie https://security.microsoft.com/restrictedentities, um direkt zur Seite Eingeschränkte Entitäten zu wechseln.

  1. Identifizieren Sie auf der Seite Eingeschränkte Entitäten das Benutzerkonto, das sie entsperren möchten. Der Wert der Entität ist Mailbox.

    Wählen Sie eine Spaltenüberschrift aus, um nach dieser Spalte zu sortieren.

    Wenn Sie die Liste der Entitäten von normal in kompakten Abstand ändern möchten, wählen Sie Listenabstand in komprimieren oder normal ändern und dann Liste komprimieren aus.

    Verwenden Sie das feld Search und einen entsprechenden Wert, um bestimmte Benutzer zu finden.

  2. Wählen Sie den Benutzer aus, der die Blockierung aufheben soll, indem Sie das Kontrollkästchen für die Entität aktivieren und dann die Aktion Blockierung aufheben auswählen, die auf der Seite angezeigt wird.

  3. Lesen Sie im daraufhin geöffneten Flyout Benutzerblockierung aufheben die Details zum eingeschränkten Konto auf der Seite Übersicht . Vergewissern Sie sich, dass Sie die Vorschläge im Abschnitt Empfehlungen durchgegangen haben, um zu bestätigen, dass das Konto nicht kompromittiert ist, oder um die Kontrolle über das Konto wiederzuerlangen.

    Wenn Sie auf der Seite Übersicht fertig sind, wählen Sie Weiter aus.

  4. Berücksichtigen Sie auf der Seite Benutzerblockierung aufheben die Empfehlungen, und verwenden Sie die Links in den Abschnitten Mehrstufige Authentifizierung und Kennwort ändern zu Aktivieren von MFA und Zurücksetzen des Benutzerkennworts , falls Sie diese Schritte noch nicht ausgeführt haben. Das Aktivieren der MFA und das Zurücksetzen des Kennworts sind ein guter Schutz vor zukünftigen Kontogefährdungen.

    Wenn Sie auf der Seite Benutzerblockierung aufheben fertig sind, wählen Sie Absenden aus.

  5. Wählen Sie ja im daraufhin geöffneten Warnungsdialogfeld aus.

    Hinweis

    In den meisten Fällen sollten alle Einschränkungen innerhalb einer Stunde vom Benutzer entfernt werden. Vorübergehende technische Probleme können zu einer längeren Wartezeit führen, die Gesamtwartezeit sollte jedoch nicht länger als 24 Stunden betragen.

Überprüfen der Warnungseinstellungen für eingeschränkte Benutzer

Die Standardwarnungsrichtlinie mit dem Namen Benutzer, der auf das Senden von E-Mails beschränkt ist, benachrichtigt Administratoren automatisch, wenn Benutzer am Senden von E-Mails gehindert werden. Weitere Informationen zu Warnungsrichtlinien finden Sie unter Warnungsrichtlinien im Microsoft Defender-Portal.

Wichtig

Damit Warnungen funktionieren, muss die Überwachungsprotokollierung aktiviert sein (standardmäßig aktiviert). Informationen zum Überprüfen, ob die Überwachungsprotokollierung aktiviert oder aktiviert ist, finden Sie unter Aktivieren oder Deaktivieren der Überwachung.

  1. Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien für die Zusammenarbeit>& Regeln>Warnungsrichtlinie. Oder verwenden Sie https://security.microsoft.com/alertpoliciesv2, um direkt zur Seite Warnungsrichtlinie zu wechseln.

  2. Suchen Sie auf der Seite Warnungsrichtlinie nach der Warnung mit dem Namen Benutzer, der auf das Senden von E-Mails beschränkt ist. Sie können die Warnungen nach Namen sortieren oder das feld Search verwenden, um die Warnung zu suchen.

    Aktivieren Sie die Warnung Benutzer darf keine E-Mails senden , indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben dem Namen klicken.

  3. Überprüfen oder konfigurieren Sie im geöffneten Flyout User restricted from sending email (Benutzer kann keine E-Mails senden ), um die folgenden Einstellungen zu überprüfen oder zu konfigurieren:

    • Status: Überprüfen Sie, ob die Warnung aktiviert ist.

    • Erweitern Sie den Abschnitt Empfänger festlegen, und überprüfen Sie die Grenzwerte für Empfänger und tägliche Benachrichtigungen .

      Wählen Sie zum Ändern der Werte im Abschnitt Empfängereinstellungen bearbeiten aus, oder klicken Sie oben im Flyout auf Richtlinie bearbeiten.

      • Überprüfen oder ändern Sie auf der Seite Entscheiden, ob Sie Personen benachrichtigen möchten, wenn diese Warnung ausgelöst wird des Assistenten, der geöffnet wird, die folgenden Einstellungen:

        • Vergewissern Sie sich , dass Für E-Mail-Benachrichtigungen aktivieren ausgewählt ist.
        • Email Empfänger: Der Standardwert ist TenantAdmins (d. h. Mitglieder des globalen Administrators). Um weitere Empfänger hinzuzufügen, klicken Sie in den leeren Bereich des Felds. Eine Liste der Empfänger wird angezeigt, und Sie können mit der Eingabe eines Namens beginnen, um einen Empfänger zu filtern und auszuwählen. Entfernen Sie einen vorhandenen Empfänger aus dem Feld, indem Sie neben ihrem Namen auswählen .
        • Tägliches Benachrichtigungslimit: Der Standardwert ist No limit.

        Wenn Sie die Seite Entscheiden, ob Sie Personen benachrichtigen möchten, wenn diese Warnung ausgelöst wird , fertig sind, wählen Sie Weiter aus.

      • Wählen Sie auf der Seite Einstellungen überprüfen die Option Senden und dann Fertig aus.

  4. Wählen Sie im Flyout *Benutzer ist vom Senden von E-Mails eingeschränkt am oberen Rand des Flyouts aus.

Verwenden Exchange Online PowerShell zum Anzeigen und Entfernen von Benutzern auf der Seite Eingeschränkte Entitäten

Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um diese Liste der Benutzer anzuzeigen, für die das Senden von E-Mails eingeschränkt ist:

Get-BlockedSenderAddress

Um Details zu einem bestimmten Benutzer anzuzeigen, ersetzen Sie <emailaddress> durch die E-Mail-Adresse des Benutzers, und führen Sie den folgenden Befehl aus:

Get-BlockedSenderAddress -SenderAddress <emailaddress> | Format-List

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-BlockedSenderAddress.

Um einen Benutzer aus der Liste Eingeschränkte Benutzer zu entfernen, ersetzen Sie <emailaddress> durch seine E-Mail-Adresse, und führen Sie den folgenden Befehl aus:

Remove-BlockedSenderAddress -SenderAddress <emailaddress>

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-BlockedSenderAddres.

Weitere Informationen