Supprimer les connecteurs bloqués du portail Entités restreintes

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft 365 Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender pour Office 365 de 90 jours sur le hub d’essais du portail Microsoft 365 Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

S’applique à

Si un connecteur entrant est détecté comme potentiellement compromis, il est limité à l’envoi d’e-mails de relais. Le connecteur est ensuite ajouté à la page Entités restreintes dans le portail Microsoft 365 Defender. Lorsque le connecteur est utilisé pour envoyer un e-mail, le message est retourné dans un rapport de non-remise (également appelé notification d’échec de remise ou message de non-remise) avec le code d’erreur 550;5.7.711 et le texte suivant :

Votre message n’a pas pu être remis. La raison la plus courante est que le connecteur de messagerie de votre organisation est soupçonné d’envoyer du courrier indésirable ou un hameçonnage et qu’il n’est plus autorisé à envoyer des e-mails. Contactez votre administrateur de messagerie pour obtenir de l’aide. Le serveur distant a retourné '550;5.7.711 Accès refusé, connecteur entrant incorrect. AS(2204).'

Les administrateurs peuvent supprimer des connecteurs de la page Entités restreintes dans Microsoft 365 Defender ou dans Exchange Online PowerShell.

En savoir plus sur les entités restreintes

Une entité restreinte est une entité qui n’a pas pu envoyer de courrier électronique, car elle a été potentiellement compromise ou a dépassé la limite d’envoi.

Il existe 2 types d’entités restreintes :

Ce qu'il faut savoir avant de commencer

  • Ouvrez le portail Microsoft 365 Defender à l’adresse https://security.microsoft.com. Pour accéder directement à la page Entités restreintes , utilisez https://security.microsoft.com/restrictedentities.

  • Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell.

  • Vous devez disposer d’autorisations dans Exchange Online avant de pouvoir suivre les procédures mentionnées dans cet article :

    • Pour supprimer des connecteurs du portail Entités restreintes, vous devez être membre des groupes de rôles Gestion de l’organisation ou Administrateur de la sécurité .
    • Pour accéder en lecture seule au portail Entités restreintes, vous devez être membre des groupes de rôles Lecteur général ou Lecteur de sécurité .

    Pour plus d'informations, voir Permissions en échange en ligne.

    Remarque

    • L’ajout d’utilisateurs au rôle Azure Active Directory correspondant dans le Centre d’administration Microsoft 365 donne aux utilisateurs les autorisations requises et les autorisations pour les autres fonctionnalités de Microsoft 365. Pour plus d’informations, consultez À propos des rôles d’administrateur.

    • Le groupe de rôles Gestion de l’organisation en affichage seul dans Exchange Online permet également d’accéder en lecture seule à la fonctionnalité.

  • Avant de supprimer le connecteur du portail Entités restreintes, veillez à suivre les étapes requises pour reprendre le contrôle du connecteur. Pour plus d’informations, consultez Répondre à un connecteur compromis.

Utiliser le portail Microsoft 365 Defender pour supprimer un connecteur de la liste Entités restreintes

  1. Dans le portail Microsoft 365 Defender, accédez à Email & collaboration>Examiner les>entités restreintes. Pour accéder directement à la page Entités restreintes , utilisez https://security.microsoft.com/restrictedentities.

  2. Dans la page Entités restreintes , recherchez et sélectionnez le connecteur que vous souhaitez débloquer en cliquant sur le connecteur.

  3. Cliquez sur l’actionDébloquer qui s’affiche.

  4. Dans le menu volant Débloquer l’entité qui s’affiche, lisez les détails sur le connecteur restreint. Vous devez passer en revue les recommandations pour vous assurer que vous effectuez les actions appropriées au cas où le connecteur serait compromis.

  5. Lorsque vous avez terminé, cliquez sur Débloquer.

    Remarque

    La suppression de toutes les restrictions du connecteur peut prendre jusqu’à 1 heure.

Vérifier les paramètres d’alerte pour les connecteurs restreints

La stratégie d’alerte par défaut nommée Activité de connecteur suspecte avertit automatiquement les administrateurs lorsque les connecteurs ne peuvent pas relayer le courrier électronique. Pour plus d'informations sur les stratégies d'alerte, voir Stratégies d'alerte dans Microsoft 365.

Importante

Pour que les alertes fonctionnent, la recherche dans le journal d’audit doit être activée. Pour plus d’informations, voir Activer ou désactiver la recherche dans le journal d’audit.

  1. Dans le portail Microsoft 365 Defender, accédez à Email &Stratégies de &collaboration > règles >Stratégie d’alerte.

  2. Dans la page Stratégie d’alerte , recherchez et sélectionnez l’alerte nommée Activité de connecteur suspecte. Vous pouvez trier les stratégies par nom ou utiliser la Zone de recherche pour rechercher la stratégie.

  3. Dans le menu volant Activité de connecteur suspecte qui s’affiche, vérifiez ou configurez les paramètres suivants :

    • État : vérifiez que l’alerte est activée.

    • Destinataires de courrier : cliquez sur Modifier et vérifiez ou configurez les paramètres suivants dans le menu volant Modifier les destinataires qui apparaît :

      • Envoyer des notifications par e-mail: vérifiez que cette option est sélectionnée (Activé).
      • Destinataires du courrier : la valeur par défaut est TenantAdmins (c’est-à-dire membres de type Administrateur général). Pour ajouter d’autres destinataires, cliquez sur une zone vide de la zone. Une liste de destinataires apparaît, puis vous pouvez commencer à saisir un nom pour filtrer et sélectionner un destinataire. Vous pouvez supprimer un destinataire existant de la zone en cliquant sur l’icône Supprimer en regard de son nom.
      • Limite de notification quotidienne : la limite n’est pas supérieure à 3 notifications par connecteur et par jour.

      Lorsque vous avez terminé, cliquez sur Enregistrer.

  4. Revenez au menu volant Activité de connecteur suspecte , cliquez sur Fermer.

Utiliser Exchange Online PowerShell pour afficher et supprimer des connecteurs de la liste Entités restreintes

Pour afficher la liste des connecteurs qui ne sont pas autorisés à envoyer des e-mails, exécutez la commande suivante :

Get-BlockedConnector

Pour afficher les détails d’un connecteur spécifique, remplacez <connectorId> et exécutez la commande suivante :

Get-BlockedConnector -ConnectorId <connectorId>

Pour supprimer un connecteur de la liste Entités restreintes, remplacez <connectorId> et exécutez la commande suivante :

Remove-BlockedConnector -ConnectorId <connectorId>

Plus d'informations