Letiltott összekötők eltávolítása a Korlátozott entitások lapról
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.
Az olyan Microsoft 365-ös szervezetekben, amelyek postaládái Exchange Online vagy különálló Exchange Online Védelmi szolgáltatás (EOP) szervezetekben vannak, Exchange Online postaládák nélkül, számos dolog történik, ha a rendszer potenciálisan sérültként észlel egy bejövő összekötőt:
Az összekötő nem küldhet vagy küldhet át e-maileket.
Az összekötőt a rendszer hozzáadja a korlátozott entitások laphoz a Microsoft Defender portálon.
A korlátozott entitások olyan felhasználói fiókok vagy összekötők , amelyek biztonsági sérülésre utaló jelek miatt blokkolva vannak az e-mailek küldésében, ami általában magában foglalja az üzenetek fogadási és küldési korlátainak túllépését.
Ha az összekötőt e-mailek küldéséhez használják, a rendszer egy sikertelen kézbesítésről szóló jelentésben (más néven sikertelen kézbesítésről szóló vagy visszapattanó üzenetben) adja vissza az üzenetet a hibakóddal
550;5.7.711
és az alábbi szöveggel:
Az üzenet nem kézbesíthető. Ennek leggyakoribb oka, hogy a szervezet e-mail-összekötője levélszemét vagy adathalászat küldésére gyanakszik, és már nem küldhet e-maileket. Segítségért forduljon a levelezési rendszergazdához. A távoli kiszolgáló visszaadta az 550-et; 5.7.711 Hozzáférés megtagadva, hibás bejövő összekötő. AS(2204)."
A feltört összekötőkről és azok irányításának visszaszerzéséről további információt a Válasz a feltört összekötőkre című témakörben talál.
A cikkben ismertetett eljárások azt ismertetik, hogy a rendszergazdák hogyan távolíthatnak el összekötőket a Korlátozott entitások lapról a Microsoft Defender portálon vagy Exchange Online PowerShellben.
A feltört felhasználói fiókokról és azok a Korlátozott entitások lapról való eltávolításáról további információt a Letiltott felhasználók eltávolítása a Korlátozott entitások lapról című témakörben talál.
Mit kell tudnia a kezdés előtt?
Nyissa meg a Microsoft Defender portált a címenhttps://security.microsoft.com. Ha közvetlenül a Korlátozott entitások lapra szeretne lépni, használja a következőt https://security.microsoft.com/restrictedentities: .
Az Exchange Online PowerShellhez való csatlakozáshoz lásd: Csatlakozás Exchange Online PowerShellhez.
Ahhoz, hogy elvégezhesse a cikkben ismertetett eljárásokat, engedélyeket kell hozzárendelnie. Az alábbi lehetőségek közül választhat:
Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) (Ha Email & együttműködést>Office 365-höz készült Defender az engedélyek Aktívak. Csak a Defender portált érinti, a PowerShellt nem: Engedélyezés és beállítások/Biztonsági beállítások/Észlelés finomhangolása (kezelése) vagy Engedélyezés és beállítások/Biztonsági beállítások/Alapvető biztonsági beállítások (olvasás).
-
- Összekötők eltávolítása a Korlátozott entitások lapról: Tagság a Szervezetkezelés vagy a Biztonsági rendszergazda szerepkörcsoportban.
- Írásvédett hozzáférés a Korlátozott entitások laphoz: Tagság a Globális olvasó, a Biztonsági olvasó vagy a Csak megtekintési szervezet kezelése szerepkörcsoportban.
Microsoft Entra engedélyek: A globális rendszergazdai, biztonsági rendszergazdai*, globális olvasói vagy biztonsági olvasói szerepkörökben való tagság biztosítja a felhasználóknak a Microsoft 365 egyéb funkcióihoz szükséges engedélyeket és engedélyeket.
Fontos
* A Microsoft azt javasolja, hogy a legkevesebb engedélyekkel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.
Mielőtt követné az ebben a cikkben szereplő eljárásokat, hogy eltávolítson egy összekötőt a Korlátozott entitások lapról, mindenképpen kövesse a szükséges lépéseket az összekötő irányításának visszaállításához a Feltört összekötőre való reagálás című cikkben leírtak szerint.
Összekötő eltávolítása a Korlátozott entitások lapról a Microsoft Defender portálon
A Microsoft Defender portálon https://security.microsoft.comlépjen Email & együttműködés> korlátozottentitásokáttekintése> lapra. Vagy ha közvetlenül a Korlátozott entitások lapra szeretne lépni, használja a következőt https://security.microsoft.com/restrictedentities: .
A Korlátozott entitások lapon azonosítsa az összekötőt a tiltás feloldásához. Az Entitás értéke Összekötő.
Jelöljön ki egy oszlopfejlécet az oszlop szerinti rendezéshez.
Ha az entitások listáját normálről kompaktra szeretné módosítani, válassza a Lista térközének módosítása kompaktra vagy normálra lehetőséget, majd válassza a Lista tömörítése lehetőséget.
Adott összekötők kereséséhez használja a Keresőmezőt és a megfelelő értéket.
Jelölje ki a feloldani kívánt összekötőt az entitáshoz tartozó jelölőnégyzet bejelölésével, majd jelölje be az oldalon megjelenő Tiltás feloldása műveletet.
A megnyíló Entitás tiltásának feloldása úszó panelen olvassa el a korlátozott összekötő részleteit. Tekintse át a javaslatokat, hogy meggyőződjön arról, hogy a megfelelő műveleteket hajtja végre, ha az összekötő biztonsága sérül.
Ha végzett az Entitás tiltásának feloldása úszó panelen, válassza a Tiltás feloldása lehetőséget.
Megjegyzés:
Akár 1 órát is igénybe vehet, hogy minden korlátozást eltávolítson az összekötőből.
A korlátozott összekötők riasztási beállításainak ellenőrzése
A Gyanús összekötő-tevékenység nevű alapértelmezett riasztási szabályzat automatikusan értesíti a rendszergazdákat, ha az összekötők nem továbbítják az e-maileket. További információ a riasztási szabályzatokról: Riasztási szabályzatok a Microsoft Defender portálon.
Fontos
A riasztások működéséhez be kell kapcsolni a naplózást (alapértelmezés szerint be van kapcsolva). Ha ellenőrizni szeretné, hogy a naplózás be van-e kapcsolva, vagy be szeretné-e kapcsolni, olvassa el a Naplózás be- és kikapcsolása című témakört.
A Microsoft Defender portálon https://security.microsoft.comlépjen Email & együttműködési>szabályzatok & szabályok>riasztási szabályzatához. Vagy ha közvetlenül a Riasztási szabályzat lapra szeretne lépni, használja a következőt https://security.microsoft.com/alertpoliciesv2: .
A Riasztási szabályzat lapon keresse meg a Gyanús összekötő-tevékenység nevű riasztást. A riasztásokat név szerint rendezheti, vagy a Keresőmezővel megkeresheti a riasztást.
Jelölje be a Gyanús összekötő tevékenység riasztást, ha a név melletti jelölőnégyzeten kívül bárhová kattint.
A megnyíló Gyanús összekötő tevékenység úszó panelen ellenőrizze vagy konfigurálja a következő beállításokat:
Állapot: Ellenőrizze, hogy a riasztás be van-e kapcsolva .
Bontsa ki a Címzettek beállítása szakaszt , és ellenőrizze a Címzettek és a Napi értesítési korlát értékeit.
Az értékek módosításához válassza a szakasz Címzettbeállítások szerkesztése elemét, vagy válassza a Házirend szerkesztése lehetőséget az úszó panel tetején.
A varázsló megnyíló értesítési lapján ellenőrizze vagy módosítsa a következő beállításokat a Döntés arról, hogy szeretne-e értesítést küldeni a felhasználóknak a riasztás aktiválásakor :
- Ellenőrizze , hogy be van-e jelölve a Feliratkozás az e-mail-értesítésekre beállítás.
- címzettek Email: Az alapértelmezett érték a TenantAdmins (globális rendszergazdai tagok). További címzettek hozzáadásához kattintson a mező üres területére. Megjelenik a címzettek listája, és elkezdhet beírni egy nevet a szűréshez és a címzett kiválasztásához. A név melletti gombra kattintva eltávolíthat egy meglévő címzettet a mezőből.
- Napi értesítési korlát: Az alapértelmezett érték a Nincs korlát.
Ha végzett a Döntés arról, hogy szeretne-e értesítést küldeni másoknak a riasztás aktiválásakor lapon, válassza a Tovább gombot.
A Beállítások áttekintése lapon válassza a Küldés, majd a Kész lehetőséget.
A Gyanús összekötőtevékenységek úszó panelen válassza ki a elemet az úszó panel tetején.
Összekötők megtekintése és eltávolítása a Korlátozott entitások lapon Exchange Online PowerShell használatával
Az e-mailek küldésére korlátozott összekötők listájának megtekintéséhez futtassa a következő parancsot Exchange Online PowerShellben:
Get-BlockedConnector
Egy adott blokkolt összekötő részleteinek megtekintéséhez cserélje le az ConnectorID> értéket <az összekötő GUID-értékére, majd futtassa a következő parancsot:
Get-BlockedConnector -ConnectorId <ConnectorID> | Format-List
Részletes szintaxis- és paraméterinformációkért lásd: Get-BlockedConnector.
Ha el szeretne távolítani egy összekötőt a Korlátozott entitások listáról, cserélje le <az Összekötő-azonosítót> az összekötő GUID-értékére, majd futtassa a következő parancsot:
Remove-BlockedConnector -ConnectorId <ConnectorID>
Részletes szintaxis- és paraméterinformációkért lásd: Remove-BlockedConnector.