Supprimer les connecteurs bloqués de la page Entités restreintes

• S’applique à:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Dans les organisations Microsoft 365 avec des boîtes aux lettres dans des organisations Exchange Online ou autonomes Exchange Online Protection (EOP) sans boîtes aux lettres Exchange Online, plusieurs choses se produisent si un connecteur entrant est détecté comme potentiellement compromis :

• Le connecteur ne peut pas envoyer ou relayer des e-mails.

• Le connecteur est ajouté à la page Entités restreintes dans le portail Microsoft Defender.

  Une entité restreinte est un compte d’utilisateur ou un connecteur qui n’est pas autorisé à envoyer des e-mails en raison d’indications de compromission, ce qui inclut généralement le dépassement des limites de réception et d’envoi de messages.

• Si le connecteur est utilisé pour envoyer un e-mail, le message est retourné dans un rapport de non-remise (également appelé notification d’échec de remise ou message de non-remise) avec le code 550;5.7.711 d’erreur et le texte suivant :

Votre message n’a pas pu être remis. La raison la plus courante est que le connecteur de messagerie de votre organization est soupçonné d’envoyer du courrier indésirable ou un hameçonnage et qu’il n’est plus autorisé à envoyer des e-mails. Contactez votre administrateur de courrier pour obtenir de l’aide. Le serveur distant a retourné ' 550 ; 5.7.711 Accès refusé, connecteur entrant incorrect. AS(2204).'

Pour plus d’informations sur les connecteurs compromis et sur la façon de les reprendre en main, consultez Répondre à un connecteur compromis.

Les procédures décrites dans cet article expliquent comment les administrateurs peuvent supprimer des connecteurs de la page Entités restreintes dans le portail Microsoft Defender ou dans Exchange Online PowerShell.

Pour plus d’informations sur les comptes d’utilisateur compromis et sur la façon de les supprimer de la page Entités restreintes , consultez Supprimer les utilisateurs bloqués de la page Entités restreintes.

Ce qu'il faut savoir avant de commencer

• Ouvrez le portail Microsoft Defender à l’adresse https://security.microsoft.com. Pour accéder directement à la page Entités restreintes , utilisez https://security.microsoft.com/restrictedentities.

• Pour vous connecter à Exchange Online PowerShell, voir Connexion à Exchange Online PowerShell.

• Vous devez disposer d’autorisations pour pouvoir effectuer les procédures décrites dans cet article. Vous avez le choix parmi les options suivantes :

  • Microsoft Defender XDR Contrôle d’accès en fonction du rôle (RBAC) unifié (affecte uniquement le portail Defender, et non PowerShell) : Autorisation et paramètres/Paramètres de sécurité/Réglage de la détection (gérer) ou Autorisation et paramètres/Paramètres de sécurité/Paramètres de sécurité principaux (lecture).
  • Exchange Online autorisations :
    • Supprimez les connecteurs de la page Entités restreintes : appartenance aux groupes de rôles Gestion de l’organisation ou Administrateur de la sécurité .
    • Accès en lecture seule à la page Entités restreintes : appartenance aux groupes de rôles Lecteur général, Lecteur de sécurité ou Gestion de l’organisation en affichage seul .
  • autorisations Microsoft Entra : l’appartenance aux rôles Administrateur général, Administrateur de la sécurité, Lecteur général ou Lecteur de sécurité donne aux utilisateurs les autorisations et autorisations requises pour d’autres fonctionnalités dans Microsoft 365.

• Avant de suivre les procédures décrites dans cet article pour supprimer un connecteur de la page Entités restreintes , veillez à suivre les étapes requises pour reprendre le contrôle du connecteur, comme décrit dans Répondre à un connecteur compromis.

Supprimer un connecteur de la page Entités restreintes dans le portail Microsoft Defender

1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & collaboration>Examiner les>entités restreintes. Ou, pour accéder directement à la page Entités restreintes , utilisez https://security.microsoft.com/restrictedentities.

2. Dans la page Entités restreintes , identifiez le connecteur à débloquer. La valeur entity est Connector.

   Sélectionnez un en-tête de colonne à trier en fonction de cette colonne.

   Pour modifier la liste des entités d’un espacement normal à un espacement compact, sélectionnez Modifier l’espacement de liste en compact ou normal, puis sélectionnez Liste compacte.

   Utilisez la zone Recherche et une valeur correspondante pour rechercher des connecteurs spécifiques.

3. Sélectionnez le connecteur à débloquer en sélectionnant la zone case activée de l’entité, puis en sélectionnant l’action Débloquer qui apparaît sur la page.

4. Dans le menu volant Débloquer l’entité qui s’ouvre, lisez les détails du connecteur restreint. Vous devez suivre les recommandations pour vous assurer que vous prenez les mesures appropriées au cas où le connecteur serait compromis.

   Lorsque vous avez terminé dans le menu volant Débloquer l’entité , sélectionnez Débloquer.

   Remarque

   La suppression de toutes les restrictions du connecteur peut prendre jusqu’à 1 heure.

Vérifier les paramètres d’alerte pour les connecteurs restreints

La stratégie d’alerte par défaut nommée Activité de connecteur suspecte avertit automatiquement les administrateurs lorsque les connecteurs ne peuvent pas relayer les e-mails. Pour plus d’informations sur les stratégies d’alerte, consultez Stratégies d’alerte dans le portail Microsoft Defender.

Importante

Pour que les alertes fonctionnent, la journalisation d’audit doit être activée (elle est activée par défaut). Pour vérifier que la journalisation d’audit est activée ou pour l’activer, consultez Activer ou désactiver l’audit.

1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à Email & Collaboration>Stratégies & règles>Stratégie d’alerte. Ou, pour accéder directement à la page Stratégie d’alerte , utilisez https://security.microsoft.com/alertpoliciesv2.

2. Dans la page Stratégie d’alerte , recherchez l’alerte nommée Activité de connecteur suspecte. Vous pouvez trier les alertes par nom ou utiliser la zone Recherche pour rechercher l’alerte.

   Sélectionnez l’alerte Activité de connecteur suspect en cliquant n’importe où dans la ligne autre que la zone case activée en regard du nom.

3. Dans le menu volant Activité de connecteur suspecte qui s’ouvre, vérifiez ou configurez les paramètres suivants :

   • État : vérifiez que l’alerte est activée .

   • Développez la section Définir vos destinataires et vérifiez les valeurs de limite des destinataires et des notifications quotidiennes .

     Pour modifier les valeurs, sélectionnez Modifier les paramètres du destinataire dans la section ou modifier la stratégie en haut du menu volant.

     • Dans la page Décider si vous souhaitez avertir les personnes lorsque cette alerte est déclenchée de l’Assistant qui s’ouvre, vérifiez ou modifiez les paramètres suivants :

       • Vérifiez que l’option Choisir pour Notifications par e-mail est sélectionnée.
       • Email destinataires : la valeur par défaut est TenantAdmins (c’est-à-dire, membres Administrateur général). Pour ajouter d’autres destinataires, cliquez dans la zone vide de la zone. Une liste de destinataires s’affiche et vous pouvez commencer à taper un nom pour filtrer et sélectionner un destinataire. Supprimez un destinataire existant de la zone en sélectionnant en regard de son nom.
       • Limite de notification quotidienne : la valeur par défaut est Aucune limite.

       Lorsque vous avez terminé sur la page Décider si vous souhaitez avertir les personnes lorsque cette alerte est déclenchée , sélectionnez Suivant.

     • Dans la page Vérifier vos paramètres , sélectionnez Envoyer, puis Terminé.

4. De retour dans le menu volant Activité de connecteur suspecte , sélectionnez en haut du menu volant.

Utiliser Exchange Online PowerShell pour afficher et supprimer des connecteurs de la page Entités restreintes

Pour afficher la liste des connecteurs qui ne sont pas autorisés à envoyer des e-mails, exécutez la commande suivante dans Exchange Online PowerShell :

Get-BlockedConnector

Pour afficher les détails d’un connecteur bloqué spécifique, remplacez ConnectorID> par <la valeur GUID du connecteur, puis exécutez la commande suivante :

Get-BlockedConnector -ConnectorId <ConnectorID> | Format-List

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Get-BlockedConnector.

Pour supprimer un connecteur de la liste Entités restreintes, remplacez ConnectorID> par <la valeur GUID du connecteur, puis exécutez la commande suivante :

Remove-BlockedConnector -ConnectorId <ConnectorID>

Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez Remove-BlockedConnector.

Plus d’informations

• Répondre à un connecteur compromis
• Supprimer les utilisateurs bloqués