Supprimer les connecteurs bloqués du portail Entités restreintes

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft 365 Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender pour Office 365 de 90 jours sur le hub d’essais du portail Microsoft 365 Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

S’applique à

• Exchange Online Protection
• Microsoft Defender pour Office 365 : offre 1 et offre 2
• Microsoft 365 Defender

Si un connecteur entrant est détecté comme potentiellement compromis, il est limité à l’envoi d’e-mails de relais. Le connecteur est ensuite ajouté à la page Entités restreintes dans le portail Microsoft 365 Defender. Lorsque le connecteur est utilisé pour envoyer un e-mail, le message est retourné dans un rapport de non-remise (également appelé notification d’échec de remise ou message de non-remise) avec le code d’erreur 550;5.7.711 et le texte suivant :

Votre message n’a pas pu être remis. La raison la plus courante est que le connecteur de messagerie de votre organisation est soupçonné d’envoyer du courrier indésirable ou un hameçonnage et qu’il n’est plus autorisé à envoyer des e-mails. Contactez votre administrateur de courrier pour obtenir de l’aide. Le serveur distant a retourné '550;5.7.711 Accès refusé, connecteur entrant incorrect. AS(2204).'

Les administrateurs peuvent supprimer des connecteurs de la page Entités restreintes dans Microsoft 365 Defender ou dans Exchange Online PowerShell.

En savoir plus sur les entités restreintes

Une entité restreinte est une entité qui a été bloquée pour l’envoi d’e-mails, soit parce qu’elle a été potentiellement compromise, soit parce qu’elle a dépassé une limite d’envoi.

Il existe deux types d’entités restreintes :

• Utilisateurs restreints : pour plus d’informations sur la raison pour laquelle un utilisateur peut être restreint et sur la façon de gérer les utilisateurs restreints, consultez Supprimer les utilisateurs bloqués du portail entités restreintes.

• Connecteurs restreints : découvrez pourquoi un connecteur peut être restreint et comment gérer les connecteurs restreints (cet article).

Ce qu'il faut savoir avant de commencer

• Ouvrez le portail Microsoft 365 Defender à l’adresse https://security.microsoft.com. Pour accéder directement à la page Entités restreintes , utilisez https://security.microsoft.com/restrictedentities.

• Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell.

• Vous devez disposer d’autorisations pour pouvoir effectuer les procédures décrites dans cet article. Vous avez le choix parmi les options suivantes :

  • Exchange Online RBAC :
    • Supprimer les connecteurs du portail Entités restreintes : appartenance aux groupes de rôles Gestion de l’organisation ou Administrateur de la sécurité .
    • Accès en lecture seule au portail des entités restreintes : appartenance aux groupes de rôles Lecteur général, Lecteur de sécurité ou Gestion de l’organisation en affichage seul .
  • RBAC Azure AD : L’appartenance aux rôles Administrateur général, Administrateur de la sécurité, Lecteur général ou Lecteur de sécurité donne aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365.

• Avant de supprimer le connecteur du portail Entités restreintes, veillez à suivre les étapes requises pour reprendre le contrôle du connecteur. Pour plus d’informations, consultez Répondre à un connecteur compromis.

Utiliser le portail Microsoft 365 Defender pour supprimer un connecteur de la liste Entités restreintes

1. Dans le portail Microsoft 365 Defender à l’adresse https://security.microsoft.com, accédez à Email & collaboration>Examiner les>entités restreintes. Pour accéder directement à la page Entités restreintes , utilisez https://security.microsoft.com/restrictedentities.

2. Dans la page Entités restreintes , recherchez et sélectionnez le connecteur que vous souhaitez débloquer en cliquant sur le connecteur.

3. Cliquez sur l’actionDébloquer qui s’affiche.

4. Dans le menu volant Débloquer l’entité qui s’affiche, lisez les détails sur le connecteur restreint. Vous devez passer en revue les recommandations pour vous assurer que vous effectuez les actions appropriées au cas où le connecteur serait compromis.

5. Lorsque vous avez terminé, cliquez sur Débloquer.

   Remarque

   La suppression de toutes les restrictions du connecteur peut prendre jusqu’à 1 heure.

Vérifier les paramètres d’alerte pour les connecteurs restreints

La stratégie d’alerte par défaut nommée Activité de connecteur suspecte avertit automatiquement les administrateurs lorsque les connecteurs ne peuvent pas relayer le courrier électronique. Pour plus d'informations sur les stratégies d'alerte, voir Stratégies d'alerte dans Microsoft 365.

Importante

Pour que les alertes fonctionnent, la recherche dans le journal d’audit doit être activée. Pour plus d’informations, voir Activer ou désactiver la recherche dans le journal d’audit.

1. Dans le portail Microsoft 365 Defender à l’adresse https://security.microsoft.com, accédez à Email &règles >stratégies &de collaboration >Stratégie d’alerte.

2. Dans la page Stratégie d’alerte , recherchez et sélectionnez l’alerte nommée Activité de connecteur suspecte. Vous pouvez trier les stratégies par nom ou utiliser la Zone de recherche pour rechercher la stratégie.

3. Dans le menu volant Activité de connecteur suspecte qui s’affiche, vérifiez ou configurez les paramètres suivants :

   • État : vérifiez que l’alerte est activée.

   • Destinataires de courrier : cliquez sur Modifier et vérifiez ou configurez les paramètres suivants dans le menu volant Modifier les destinataires qui apparaît :

     • Envoyer des notifications par e-mail: vérifiez que cette option est sélectionnée (Activé).
     • Destinataires du courrier : la valeur par défaut est TenantAdmins (c’est-à-dire membres de type Administrateur général). Pour ajouter d’autres destinataires, cliquez sur une zone vide de la zone. Une liste de destinataires apparaît, puis vous pouvez commencer à saisir un nom pour filtrer et sélectionner un destinataire. Vous pouvez supprimer un destinataire existant de la zone en cliquant sur regard de son nom.
     • Limite de notification quotidienne : la limite n’est pas supérieure à 3 notifications par connecteur et par jour.

     Lorsque vous avez terminé, cliquez sur Enregistrer.

4. Revenez au menu volant Activité de connecteur suspecte , cliquez sur Fermer.

Utiliser Exchange Online PowerShell pour afficher et supprimer des connecteurs de la liste Entités restreintes

Pour afficher la liste des connecteurs qui ne sont pas autorisés à envoyer des e-mails, exécutez la commande suivante dans Exchange Online PowerShell :

Get-BlockedConnector

Pour afficher les détails d’un connecteur bloqué spécifique, remplacez ConnectorID> par <la valeur GUID du connecteur, puis exécutez la commande suivante :

Get-BlockedConnector -ConnectorId <ConnectorID> | Format-List

Pour supprimer un connecteur de la liste Entités restreintes, remplacez ConnectorID> par <la valeur GUID, puis exécutez la commande suivante :

Remove-BlockedConnector -ConnectorId <ConnectorID>

Plus d’informations

• Répondre à un connecteur compromis
• Supprimer les utilisateurs bloqués