הסרת מחברים חסומים מהדף 'ישויות מוגבלות'

• חל על:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 תוכנית 2 ללא תשלום? השתמש בגירסת הניסיון של Defender for Office 365 ל- 90 יום במרכז הניסיון של פורטל Microsoft Defender. למד מי יכול להירשם ולתנאי ניסיון כאן.

בארגונים של Microsoft 365 עם תיבות דואר ב- Exchange Online או בארגונים עצמאיים של Exchange Online Protection (EOP) ללא תיבות דואר של Exchange Online, מתרחשות כמה דברים אם מחבר נכנס מזוהה כקובץ שעלול להיות בסכנה:

• המחבר מונע שליחה או העברה של דואר אלקטרוני.

• המחבר מתווסף לדף ישויות מוגבלות בפורטל Microsoft Defender.

  ישות מוגבלת היא חשבון משתמש או מחבר שנחסם בשל סימנים לפשרה, הכולל בדרך כלל חריגה ממגבלות קבלה ושליחה של הודעות.

• אם המחבר משמש לשליחת דואר אלקטרוני, ההודעה מוחזרת בדוח אי-מסירה (המכונה גם NDR או הודעה שהוחזרה) 550;5.7.711 עם קוד השגיאה והטקסט הבא:

לא היתה אפשרות לשלוח את ההודעה שלך. הסיבה הנפוצה ביותר לכך היא שמחבר הדואר האלקטרוני של הארגון שלך חשוד בשליחת דואר זבל או דיוג והוא אינו מורשה עוד לשלוח דואר אלקטרוני. פנה למנהל הדואר האלקטרוני לקבלת סיוע. שרת מרוחק החזיר את '550; 5.7.711 הגישה נדחתה, מחבר נכנס שגוי. AS(2204).'

לקבלת מידע נוסף אודות מחברים שנחשף לסכנה וכיצד לקבל שוב שליטה בהם, ראה תגובה למחבר שנחשף לסכנה.

ההליכים במאמר זה מסבירים כיצד מנהלי מערכת יכולים להסיר מחברים מהדף 'ישויות מוגבלות' בפורטל Microsoft Defender או ב- Exchange Online PowerShell.

לקבלת מידע נוסף אודות חשבונות משתמשים שנחשף לסכנה ואופן הסרתם מהדף 'ישויות מוגבלות', ראה הסרת משתמשים חסומים מהדף 'ישויות מוגבלות'.

מה עליך לדעת לפני שתתחיל?

• פתח את פורטל Microsoft Defender בכתובת https://security.microsoft.com. כדי לעבור ישירות לדף ישויות מוגבלות , השתמש ב- https://security.microsoft.com/restrictedentities.

• כדי להתחבר ל- Exchange Online PowerShell, ראה התחברות ל- Exchange Online PowerShell.

• עליך לקבל הרשאות מוקצות לפני שתוכל לבצע את ההליכים במאמר זה. יש לך את האפשרויות הבאות:

  • בקרת גישה המבוססת על תפקיד XDR של Microsoft Defender (RBAC) (אם הרשאות Defender עבורOffice 365&> דואר אלקטרוני ושיתוף פעולה פעילות. משפיע על פורטל Defender בלבד, לא על PowerShell): הרשאות והגדרות/הגדרות אבטחה/כוונון זיהוי (ניהול) או הרשאה והגדרות/הגדרות אבטחה/הגדרות אבטחה ליבה (קריאה).

  • הרשאות Exchange Online:

    • הסר מחברים מהדף 'ישויות מוגבלות': חברות בקבוצות התפקידים 'ניהול ארגון ' או 'מנהל אבטחה'.
    • גישה לקריאה בלבד לדף 'ישויות מוגבלות': חברות בקבוצות התפקידים 'קורא כללי ','קורא אבטחה' או 'ניהול ארגון תצוגה בלבד' .

  • הרשאות Entra של Microsoft: ^*החברות בתפקידים 'מנהל מערכת כללי', 'מנהל אבטחה','קורא כללי' או 'קורא אבטחה' מעניקה למשתמשים את ההרשאות וההרשאות הדרושות עבור תכונות אחרות ב- Microsoft 365.

    חשוב

    ^* Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. שימוש בחשבונות עם הרשאות נמוכות יותר עוזר לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.

• לפני שתבצע את ההליכים במאמר זה כדי להסיר מחבר מהדף ישויות מוגבלות, הקפד לבצע את השלבים הדרושים כדי לקבל שוב שליטה במחבר כמתואר במאמר תגובה למחבר שנחשף לסכנה.

הסרת מחבר מהדף 'ישויות מוגבלות' בפורטל Microsoft Defender

1. בפורטל Microsoft Defender ב- https://security.microsoft.com, עבור אל דואר אלקטרוני ושיתוף &>פעולה סקור>ישויות מוגבלות. לחלופין, כדי לעבור ישירות לדף ישויות מוגבלות , השתמש ב- https://security.microsoft.com/restrictedentities.

2. בדף ישויות מוגבלות, זהה את המחבר כדי לבטל את החסימה. ערך הישות הוא מחבר.

   בחר כותרת עמודה כדי למיין לפי עמודה זו.

   כדי לשנות את רשימת הישויות ממרווח רגיל לדחוס, בחר שנה מרווח בין רשימה לדחוס או רגיל ולאחר מכן בחר דחוס רשימה.

   השתמש בתיבת החיפוש ובערך תואם כדי למצוא מחברים ספציפיים.

3. בחר את המחבר כדי לבטל את החסימה על-ידי בחירה בתיבת הסימון עבור הישות ולאחר מכן בחירה בפעולה בטל חסימה המופיעה בדף.

4. בתפריט הנשלף בטל חסימת ישות שנפתח, קרא את הפרטים אודות המחבר המוגבל. עליך לעבור על ההמלצות כדי לוודא שאתה משתמש בפעולות המתאימות במקרה שהמחבר נחשף לסכנה.

   לאחר שתסיים בתפריט הנשלף בטל חסימת ישות , בחר בטל חסימה.

   הערה

   הסרת כל ההגבלות מהחבר עשויה להימשך עד שעה אחת.

אימות הגדרות ההתראה עבור מחברים מוגבלים

מדיניות ההתראה המהווה ברירת מחדל בשם פעילות מחבר חשודה מודיעה באופן אוטומטי למנהלי מערכת כאשר מחברים חסומים בעת העברת דואר אלקטרוני. לקבלת מידע נוסף אודות מדיניות התראה, ראה מדיניות התראה בפורטל Microsoft Defender.

חשוב

כדי שהתראות יפעלו, יש להפעיל את רישום הביקורת (הוא מופעל כברירת מחדל). כדי לוודא שרישום ביקורת מופעל או כדי להפעיל אותו, ראה הפעלה או ביטול של ביקורת.

1. בפורטל Microsoft Defender ב- https://security.microsoft.com, עבור אל מדיניות שיתוף & דואר>אלקטרוני & מדיניות>התראה. לחלופין, כדי לעבור ישירות לדף מדיניות התראה , השתמש ב- https://security.microsoft.com/alertpoliciesv2.

2. בדף מדיניות התראה , אתר את ההתראה בשם פעילות מחבר חשודה. באפשרותך למיין את ההתראות לפי שם, או להשתמש בתיבת החיפוש כדי למצוא את ההתראה.

   בחר את ההתראה פעילות מחבר חשוד על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון לצד השם.

3. בתפריט הנשלף פעילות מחבר חשוד שנפתח, אמת את ההגדרות הבאות או קבע את תצורתן:

   • מצב: ודא שההתראה מופעלת .

   • הרחב את המקטע הגדר את הנמענים שלך ואמת את הערכים של מגבלת ההודעותשל נמענים והודעות יומיות.

     כדי לשנות את הערכים, בחר ערוך הגדרות של נמען במקטע או בחר ערוך מדיניות בחלק העליון של התפריט הנשלף.

     • בדף החלט אם ברצונך להודיע לאנשים מתי התראה זו מופעלת של האשף שנפתח, אמת או שנה את ההגדרות הבאות:

       • ודא שההצטרפות לקבלת הודעות דואר אלקטרוני נבחרה.
       • נמעני דואר אלקטרוני: ערך ברירת המחדל הוא TenantAdmins (חברי מנהל מערכת כללי). כדי להוסיף נמענים נוספים, לחץ באזור הריק של התיבה. מופיעה רשימת נמענים, ובאפשרותך להתחיל להקליד שם כדי לסנן ולבחור נמען. הסר נמען קיים מהתיבה על-ידי בחירה לצד שמו.
       • מגבלת הודעות יומית: ערך ברירת המחדל הוא ללא מגבלה.

       לאחר שתסיים, בדף החלט אם ברצונך להודיע לאנשים מתי התראה זו מופעלת, בחר הבא.

     • בדף סקור את ההגדרות שלך , בחר שלח ולאחר מכן בחר סיום.

4. בתפריט הנשלף פעילות מחבר חשוד, בחר בחלק העליון של התפריט הנשלף.

שימוש ב- PowerShell של Exchange Online כדי להציג ולהסיר מחברים מהדף 'ישויות מוגבלות'

כדי להציג את רשימת המחברים המוגבלת לשליחת דואר אלקטרוני, הפעל את הפקודה הבאה ב- Exchange Online PowerShell:

Get-BlockedConnector

כדי להציג פרטים אודות מחבר חסום ספציפי, החלף <את ConnectorID> בערך ה- GUID של המחבר ולאחר מכן הפעל את הפקודה הבאה:

Get-BlockedConnector -ConnectorId <ConnectorID> | Format-List

לקבלת מידע מפורט על התחביר והפרמטרים, ראה Get-BlockedConnector.

כדי להסיר מחבר מהרשימה ישויות מוגבלות, <החלף את ConnectorID> בערך ה- GUID של המחבר ולאחר מכן הפעל את הפקודה הבאה:

Remove-BlockedConnector -ConnectorId <ConnectorID>

לקבלת מידע מפורט על התחביר והפרמטרים, ראה Remove-BlockedConnector.

מידע נוסף

• תגובה למחבר שנחשף לסכנה
• הסר משתמשים חסומים