제한된 엔터티 페이지에서 차단된 커넥터 제거

• 적용 대상:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

팁

Microsoft Defender XDR Office 365 플랜 2의 기능을 무료로 사용해 볼 수 있다는 사실을 알고 계셨나요? Microsoft Defender 포털 평가판 허브에서 90일 Office 365용 Defender 평가판을 사용합니다. 여기에서 등록 및 평가판 조건에 대해 알아봅니 다.

Exchange Online 사서함이 없는 Exchange Online 또는 EOP(독립 실행형 Exchange Online Protection) 조직에 사서함이 있는 Microsoft 365 조직에서는 인바운드 커넥터가 잠재적으로 손상된 것으로 검색되면 다음과 같은 몇 가지 상황이 발생합니다.

• 커넥터가 전자 메일을 보내거나 릴레이할 수 없는 경우

• 커넥터는 Microsoft Defender 포털의 제한된 엔터티 페이지에 추가됩니다.

  제한된 엔터티는 일반적으로 메시지 수신 및 전송 제한을 초과하는 것을 포함하는 손상의 표시로 인해 전자 메일을 보내지 못하도록 차단된 사용자 계정 또는 커넥터입니다.

• 커넥터를 사용하여 전자 메일을 보내는 경우 오류 코드 550;5.7.711 와 다음 텍스트가 포함된 배달되지 않는 보고서(NDR 또는 반송된 메시지라고도 함)에 메시지가 반환됩니다.

메시지를 배달할 수 없습니다. 가장 일반적인 이유는 organization 전자 메일 커넥터가 스팸 또는 피싱을 보낸 것으로 의심되어 더 이상 전자 메일을 보낼 수 없기 때문입니다. 도움이 필요하면 전자 메일 관리자에게 문의하세요. 원격 서버에서 '550; 5.7.711 액세스가 거부되고 인바운드 커넥터가 잘못되었습니다. AS(2204).'

손상된 커넥터에 대한 자세한 내용 및 커넥터 제어를 다시 확인하는 방법은 손상된 커넥터에 응답을 참조하세요.

이 문서의 절차에서는 관리자가 Microsoft Defender 포털 또는 Exchange Online PowerShell의 제한된 엔터티 페이지에서 커넥터를 제거하는 방법을 설명합니다.

손상된 사용자 계정 및 제한된 엔터티 페이지에서 사용자 계정을 제거하는 방법에 대한 자세한 내용은 제한된 엔터티 페이지에서 차단된 사용자 제거를 참조하세요.

시작하기 전에 알아야 할 사항은 무엇인가요?

• 에서 Microsoft Defender 포털을 엽니다https://security.microsoft.com. 제한된 엔터티 페이지로 직접 이동하려면 를 사용합니다https://security.microsoft.com/restrictedentities.

• Exchange Online PowerShell에 연결하려면 Exchange Online PowerShell에 연결을 참조하세요.

• 이 문서의 절차를 수행하려면 권한이 할당되어야 합니다. 다음과 같은 옵션을 선택할 수 있습니다.

  • Microsoft Defender XDR RBAC(통합 역할 기반 액세스 제어)(PowerShell이 아닌 Defender 포털에만 영향을 줍니다. ): 권한 부여 및 설정/보안 설정/검색 튜닝(관리) 또는 권한 부여 및 설정/보안 설정/핵심 보안 설정(읽기).
  • Exchange Online 권한:
    • 제한된 엔터티 페이지에서 커넥터 제거: 조직 관리 또는 보안 관리자 역할 그룹의 멤버 자격.
    • 제한된 엔터티 페이지에 대한 읽기 전용 액세스: 전역 읽기 권한자, 보안 읽기 권한자 또는 보기 전용 조직 관리 역할 그룹의 멤버 자격입니다.
  • Microsoft Entra 권한: 전역 관리자, 보안 관리자, 전역 읽기 권한자 또는 보안 읽기 권한자 역할의 멤버 자격은 사용자에게 Microsoft 365의 다른 기능에 대한 필요한 권한 및 권한을 제공합니다.

• 이 문서의 절차에 따라 제한된 엔터티 페이지에서 커넥터를 제거하기 전에 손상된 커넥터에 응답에 설명된 대로 필요한 단계에 따라 커넥터를 다시 제어 해야 합니다.

Microsoft Defender 포털의 제한된 엔터티 페이지에서 커넥터 제거

1. 의 Microsoft Defender 포털에서 https://security.microsoft.comEmail & 협업>검토>제한된 엔터티로 이동합니다. 또는 제한된 엔터티 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/restrictedentities.

2. 제한된 엔터티 페이지에서 차단을 해제할 커넥터를 식별합니다. 엔터티 값은 Connector입니다.

   해당 열을 기준으로 정렬할 열 머리글을 선택합니다.

   엔터티 목록을 일반에서 압축 간격 으로 변경하려면 목록 간격을 압축 또는 보통으로 변경한 다음, 압축 목록을 선택합니다.

   검색 상자와 해당 값을 사용하여 특정 커넥터를 찾습니다.

3. 엔터티에 대한 검사 상자를 선택한 다음 페이지에 표시되는 차단 해제 작업을 선택하여 차단을 해제할 커넥터를 선택합니다.

4. 열리는 엔터티 차단 해제 플라이아웃에서 제한된 커넥터에 대한 세부 정보를 읽습니다. 커넥터가 손상된 경우 적절한 작업을 수행하도록 권장 사항을 확인해야 합니다.

   엔터티 차단 해제 플라이아웃을 마쳤으면 차단 해제를 선택합니다.

   참고

   커넥터에서 모든 제한을 제거하는 데 최대 1시간이 걸릴 수 있습니다.

제한된 커넥터에 대한 경고 설정 확인

의심스러운 커넥터 활동이라는 기본 경고 정책은 커넥터가 전자 메일을 릴레이할 수 없으면 관리자에게 자동으로 알릴 수 있습니다. 경고 정책에 대한 자세한 내용은 Microsoft Defender 포털의 경고 정책을 참조하세요.

중요

경고가 작동하려면 감사 로깅을 켜야 합니다(기본적으로 켜져 있음). 감사 로깅이 켜져 있는지 확인하거나 켜려면 감사 켜기 또는 끄기를 참조하세요.

1. 의 Microsoft Defender 포털에서 https://security.microsoft.comEmail & 협업>정책 & 규칙>경고 정책으로 이동합니다. 또는 경고 정책 페이지로 직접 이동하려면 를 사용합니다 https://security.microsoft.com/alertpoliciesv2.

2. 경고 정책 페이지에서 의심스러운 커넥터 활동이라는 경고를 찾습니다. 경고를 이름으로 정렬하거나 검색 상자를 사용하여 경고를 찾을 수 있습니다.

   이름 옆에 있는 검사 상자 이외의 행의 아무 곳이나 클릭하여 의심스러운 커넥터 활동 경고를 선택합니다.

3. 열리는 의심스러운 커넥터 작업 플라이아웃에서 다음 설정을 확인하거나 구성합니다.

   • 상태: 경고가 켜져 있는지 확인합니다 .

   • 받는 사람 설정 섹션을 확장하고 받는 사람 및 일별 알림 제한 값을 확인합니다.

     값을 변경하려면 섹션에서 받는 사람 설정 편집을 선택 하거나 플라이아웃 맨 위에 있는 정책 편집을 선택합니다.

     • 이 경고가 트리거될 때 사용자에게 알릴지 결정 페이지에서 다음 설정을 확인하거나 변경합니다.

       • 메일 알림 옵트인이 선택되어 있는지 확인합니다.
       • Email 받는 사람: 기본값은 TenantAdmins(즉, 전역 관리자 구성원)입니다. 받는 사람을 더 추가하려면 상자의 빈 영역을 클릭합니다. 받는 사람 목록이 나타나면 이름을 입력하여 필터링하고 받는 사람을 선택할 수 있습니다. 이름 옆에 있는 를 선택하여 상자에서 기존 받는 사람을 제거합니다.
       • 일일 알림 제한: 기본값은 제한 없음입니다.

       이 경고가 트리거될 때 사용자에게 알릴지 결정 페이지에서 완료되면 다음을 선택합니다.

     • 설정 검토 페이지에서 제출을 선택한 다음 완료를 선택합니다.

4. 의심스러운 커넥터 활동 플라이아웃으로 돌아가서 플라이아웃 맨 위에서 선택합니다.

Exchange Online PowerShell을 사용하여 제한된 엔터티 페이지에서 커넥터 보기 및 제거

전자 메일 보내기가 제한된 커넥터 목록을 보려면 Exchange Online PowerShell에서 다음 명령을 실행합니다.

Get-BlockedConnector

특정 차단된 커넥터 <에 대한 세부 정보를 보려면 ConnectorID> 를 커넥터의 GUID 값으로 바꾼 다음 다음 명령을 실행합니다.

Get-BlockedConnector -ConnectorId <ConnectorID> | Format-List

자세한 구문 및 매개 변수 정보는 Get-BlockedConnector를 참조하세요.

제한된 엔터티 목록에서 <커넥터를 제거하려면 ConnectorID> 를 커넥터의 GUID 값으로 바꾼 다음 다음 명령을 실행합니다.

Remove-BlockedConnector -ConnectorId <ConnectorID>

자세한 구문 및 매개 변수 정보는 Remove-BlockedConnector를 참조하세요.

추가 정보

• 손상된 커넥터에 응답
• 차단된 사용자 제거