Estettyjen liittimien poistaminen Rajoitetut entiteetit -sivulta

• Koskee seuraavia::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR for Office 365:n palvelupaketti 2:n ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 -kokeiluversiota Microsoft Defender -portaalin kokeilukeskuksessa. Lue lisätietoja siitä, kuka voi rekisteröityä, ja kokeiluversion ehdot täältä.

Microsoft 365 -organisaatioissa, joissa on Exchange Onlinen postilaatikoita tai erillisiä Exchange Online Protection (EOP) -organisaatioita ilman Exchange Online -postilaatikoita, tapahtuu useita asioita, jos saapuvan liittimen havaitaan mahdollisesti vaarantuneen:

• Liitintä estetään lähettämästä tai välittämästä sähköpostia.

• Liitin lisätään Microsoft Defender -portaalin Rajoitetut entiteetit -sivulle.

  Rajoitettu entiteetti on käyttäjätili tai liitin, joka on estetty lähettämästä sähköpostia vaarantumismerkinnän vuoksi. Se sisältää yleensä viestien vastaanotto- ja lähetysrajoitusten ylittämisen.

• Jos yhdistintä käytetään sähköpostin lähettämiseen, viesti palautetaan toimitusta estävässä raportissa (jota kutsutaan myös NDR:ksi tai palautetuksi viestiksi), jossa on virhekoodi 550;5.7.711 ja seuraava teksti:

Viestiäsi ei voitu toimittaa. Yleisin syy tähän on se, että organisaatiosi sähköpostiliittimen epäillään lähettävän roskapostia tai tietojenkalastelua eikä se saa enää lähettää sähköpostia. Pyydä apua sähköpostin järjestelmänvalvojalta. Etäpalvelin palautti :n '550; 5.7.711 Käyttö estetty, virheellinen saapuva liitin. AS(2204).

Lisätietoja vaarantuneiden liittimien hallinnasta ja niiden hallinnan palauttamisesta on artikkelissa Vaarantuneeseen liittimeen vastaaminen.

Tässä artikkelissa kerrotaan, miten järjestelmänvalvojat voivat poistaa liittimiä Microsoft Defender -portaalin rajoitetut entiteetit -sivulta tai Exchange Online PowerShellistä.

Lisätietoja vaarantuneet käyttäjätilit ja niiden poistaminen Rajoitetut entiteetit -sivulta on kohdassa Estettyjen käyttäjien poistaminen Rajoitetut entiteetit -sivulta.

Mitä on hyvä tietää ennen aloittamista?

• Avaa Microsoft Defender -portaali osoitteessa https://security.microsoft.com. Jos haluat siirtyä suoraan Rajoitetut entiteetit -sivulle, käytä -https://security.microsoft.com/restrictedentities

• Jos haluat muodostaa yhteyden Exchange Online PowerShelliin, katso Yhdistä Exchange Online PowerShelliin.

• Sinulla on oltava käyttöoikeudet, ennen kuin voit suorittaa tämän artikkelin menettelyt. Voit valita seuraavat vaihtoehdot:

  • Microsoft Defender XDR Unified role based access control (RBAC) (If Email & collaboration>Defender for Office 365 permissions is Active. Vaikuttaa vain Defender-portaaliin, ei PowerShelliin: Valtuutus ja asetukset/Suojausasetukset/Tunnistuksen säätö (hallinta) tai valtuutus ja asetukset/Suojausasetukset/Ydinsuojausasetukset (lue).

  • Exchange Online -käyttöoikeudet:

    • Poista yhdistimet Rajoitetut entiteetit -sivulta: Organisaation hallinta - tai Suojauksen järjestelmänvalvoja - rooliryhmien jäsenyys.
    • Vain luku -käyttöoikeus Rajoitetut entiteetit -sivulle: Yleisen lukijan, suojauksen lukijan tai vain tarkastelu -organisaation hallinta - rooliryhmien jäsenyys.

  • Microsoft Entra -käyttöoikeudet: Yleisen järjestelmänvalvojan^*, suojauksen järjestelmänvalvojan, yleisen lukijan tai suojauksenlukijan roolien jäsenyys antaa käyttäjille microsoft 365:n muiden ominaisuuksien vaaditut käyttöoikeudet.

    Tärkeää

    ^* Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Alemman käyttöoikeuden auttaminen parantaa organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.

• Ennen kuin noudatat tämän artikkelin ohjeita liittimen poistamiseksi Rajoitetut entiteetit -sivulta, muista palauttaa liittimen hallinta noudattamalla vaadittuja ohjeita kohdassa Vastaa vaarantuneelle liittimelle kuvatulla tavalla.

Liittimen poistaminen Microsoft Defender -portaalin Rajoitetut entiteetit -sivulta

1. Siirry Microsoft Defender -portaalissa osoitteeseen https://security.microsoft.comSähköposti & yhteistyö>Tarkista>rajoitetut entiteetit. Voit myös siirtyä suoraan Rajoitetut entiteetit -sivulle valitsemalla https://security.microsoft.com/restrictedentities.

2. Määritä Rajoitetut entiteetit -sivulla liitin, jonka esto poistetaan. Entiteetin arvo on Connector.

   Valitse sarakeotsikko, jonka mukaan lajitellaan kyseisen sarakkeen mukaan.

   Jos haluat muuttaa entiteettiluettelon normaalista tiivistettyyn välistykseen, valitse Muuta luettelon välistys tiivistettyyn tai normaaliin ja valitse sitten Järjestä luettelo.

   Etsi tietyt liittimet hakuruudun ja sitä vastaavan arvon avulla.

3. Valitse liitin, jonka esto poistetaan valitsemalla entiteetin valintaruutu ja valitsemalla sitten sivulla näkyvä Poista esto -toiminto.

4. Lue avautuvasta Poista esto -entiteetin pikaikkunasta tietoja rajoitetusta liittimestä. Käy läpi suositukset varmistaaksesi, että suoritat asianmukaiset toimet, jos liitin on vaarantunut.

   Kun entiteetin esto -pikaikkuna on valmis, valitse Poista esto.

   Huomautus

   Saattaa kestää jopa tunnin, ennen kuin kaikki rajoitukset poistetaan liittimestä.

Tarkista rajoitettujen liittimien ilmoitusasetukset

Oletusarvoinen ilmoituskäytäntö epäilyttävän liittimen toiminta ilmoittaa automaattisesti järjestelmänvalvojille, kun liittimiä estetään lähettämästä sähköpostia. Lisätietoja ilmoituskäytännöistä on Microsoft Defender -portaalin ilmoituskäytäntöjen ohjeartikkelissa.

Tärkeää

Jotta ilmoitukset toimivat, valvontalokin on oltava käytössä (se on oletusarvoisesti käytössä). Jos haluat varmistaa, että valvontaloki on käytössä tai ottaa sen käyttöön, katso Ota valvonta käyttöön tai poista se käytöstä.

1. Siirry Microsoft Defender -portaalissa osoitteeseen https://security.microsoft.comSähköposti & yhteistyökäytännöt>& säännöt>Ilmoituskäytäntö. Voit myös siirtyä suoraan Ilmoituskäytäntö-sivulle valitsemalla https://security.microsoft.com/alertpoliciesv2.

2. Etsi Ilmoituskäytäntö-sivulta ilmoitus nimeltä Epäilyttävä liittimen toiminta. Voit lajitella hälytykset nimen mukaan tai etsiä ilmoituksen hakuruudun avulla.

   Valitse Epäilyttävä liittimen toiminta -ilmoitus napsauttamalla mitä tahansa muuta riviä kuin nimen vieressä olevaa valintaruutua.

3. Tarkista tai määritä seuraavat asetukset näyttöön avautuvassa Epäilyttävän liittimen toiminnan pikaikkunassa:

   • Tila: Varmista, että ilmoitus on käytössä .

   • Laajenna Määritä vastaanottajat -osio ja tarkista Vastaanottajat - ja Päivittäinen ilmoitus -rajoitusarvot .

     Jos haluat muuttaa arvoja, valitse osiosta Muokkaa vastaanottajan asetuksia tai valitse muokkaa käytäntöä pikaikkunan yläosasta.

     • Valitse Valitse, haluatko ilmoittaa käyttäjille, kun tämä ilmoitus käynnistyy, näyttöön avautuvan ohjatun toiminnon sivulta tarkista tai muuta seuraavia asetuksia:

       • Varmista , että sähköposti-ilmoitusten suostuminen on valittuna.
       • Sähköpostin vastaanottajat: Oletusarvo on TenantAdmins (yleisen järjestelmänvalvojan jäsenet). Jos haluat lisätä vastaanottajia, napsauta ruudun tyhjää aluetta. Näkyviin tulee luettelo vastaanottajista, ja voit aloittaa suodatuksen nimen kirjoittamisen ja vastaanottajan valitsemisen. Poista aiemmin luotu vastaanottaja ruudusta valitsemalla hänen nimensä vieressä.
       • Päivittäinen ilmoitusrajoitus: Oletusarvo on Ei rajoitusta.

       Kun olet valmis , valitse Päätä, haluatko ilmoittaa käyttäjille, kun tämä ilmoitus käynnistetään -sivulla Seuraava.

     • Valitse Tarkista asetukset - sivulla Lähetä ja valitse sitten Valmis.

4. Valitse epäilyttävän liittimen toiminnan pikaikkunassa pikaikkunan yläosasta.

Tarkastele ja poista liittimiä Rajoitetut entiteetit -sivulta Exchange Online PowerShellin avulla

Jos haluat tarkastella sähköpostin lähettämistä rajoitettujen liittimien luetteloa, suorita seuraava komento Exchange Online PowerShellissä:

Get-BlockedConnector

Jos haluat tarkastella tietyn estetun liittimen tietoja, korvaa <ConnectorID> liittimen GUID-arvolla ja suorita sitten seuraava komento:

Get-BlockedConnector -ConnectorId <ConnectorID> | Format-List

Tarkat syntaksi- ja parametritiedot ovat kohdassa Get-BlockedConnector.

Jos haluat poistaa liittimen Rajoitetut entiteetit -luettelosta, korvaa <ConnectorID> liittimen GUID-arvolla ja suorita sitten seuraava komento:

Remove-BlockedConnector -ConnectorId <ConnectorID>

Tarkat syntaksi- ja parametritiedot ovat kohdassa Remove-BlockedConnector.

Lisätietoja

• Vastaaminen haittaohjelmille altistuneeseen yhdistimeen
• Estettyjen käyttäjien poistaminen