Fjerne blokkerte koblinger fra siden Begrensede enheter

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

I Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online postbokser, skjer det flere ting hvis en inngående kobling oppdages som potensielt kompromittert:

  • Koblingen hindres i å sende eller videresende e-post.

  • Koblingen legges til på siden Begrensede enheter i Microsoft Defender-portalen.

    En begrenset enhet er en brukerkonto eller en kobling som er blokkert fra å sende e-post på grunn av indikasjoner på kompromisser, som vanligvis inkluderer overskridelse av meldings mottak og sending av grenser.

  • Hvis koblingen brukes til å sende e-post, returneres meldingen i en rapport om manglende levering (også kjent som en NDR eller returnert melding) med feilkoden 550;5.7.711 og følgende tekst:

Meldingen kan ikke leveres. Den vanligste årsaken til dette er at organisasjonens e-postkobling mistenkes for å sende søppelpost eller phish, og at det ikke lenger er tillatt å sende e-post. Kontakt e-postadministratoren for å få hjelp. Remote Server returnerte '550; 5.7.711 Ingen tilgang, ugyldig innkommende kobling. AS(2204).'

Hvis du vil ha mer informasjon om kompromitterte koblinger og hvordan du får tilbake kontrollen over dem, kan du se Svare på en kompromittert kobling.

Fremgangsmåtene i denne artikkelen forklarer hvordan administratorer kan fjerne koblinger fra siden Begrensede enheter i Microsoft Defender-portalen eller i Exchange Online PowerShell.

Hvis du vil ha mer informasjon om kompromitterte brukerkontoer og hvordan du fjerner dem fra siden Begrensede enheter , kan du se Fjerne blokkerte brukere fra siden Begrensede enheter.

Hva må du vite før du begynner?

  • Åpne Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til siden Begrensede enheter , bruker https://security.microsoft.com/restrictedentitiesdu .

  • Hvis du vil koble til Exchange Online PowerShell, kan du se Koble til Exchange Online PowerShell.

  • Du må være tilordnet tillatelser før du kan utføre prosedyrene i denne artikkelen. Du har følgende alternativer:

    • Microsoft Defender XDR enhetlig rollebasert tilgangskontroll (RBAC) (hvis e-post & samarbeid>Defender for Office 365 tillatelser er aktive. Påvirker bare Defender-portalen, ikke PowerShell): Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Gjenkjenningsjustering (administrere) eller Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (lese).
    • Exchange Online tillatelser:
      • Fjern koblinger fra siden Begrensede enheter: Medlemskap i rollegruppene Organisasjonsadministrasjon eller Sikkerhetsadministrator .
      • Skrivebeskyttet tilgang til siden Begrensede enheter: Medlemskap i rollegruppene Global Reader, Security Reader eller View-Only Organization Management .
    • Microsoft Entra tillatelser: Medlemskap i rollene global administrator, sikkerhetsadministrator, global leser eller sikkerhetsleser gir brukerne de nødvendige tillatelsene og tillatelsene for andre funksjoner i Microsoft 365.

  • Før du følger fremgangsmåtene i denne artikkelen for å fjerne en kobling fra siden Begrensede enheter , må du følge de nødvendige trinnene for å få tilbake kontrollen over koblingen som beskrevet i Svar på en kompromittert kobling.

Fjerne en kobling fra siden Begrensede enheter i Microsoft Defender-portalen

  1. Gå til E-post & samarbeid>> Se gjennombegrensede enheter i Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til siden Begrensede enheter , kan du bruke https://security.microsoft.com/restrictedentities.

  2. Identifiser koblingen for å oppheve blokkeringen på siden Begrensede enheter . Enhetsverdien er kobling.

    Velg en kolonneoverskrift som skal sorteres etter denne kolonnen.

    Hvis du vil endre listen over enheter fra normal til kompakt avstand, velger du Endre listeavstand til kompakt eller normal, og deretter velger du Komprimer liste.

    Bruk Søk-boksen og en tilsvarende verdi til å finne bestemte koblinger.

  3. Velg koblingen du vil oppheve blokkeringen av ved å merke av for enheten, og velg deretter Opphev blokkeringen som vises på siden.

  4. Les detaljene om den begrensede koblingen i undermenyen Opphev blokkeringen av enheten som åpnes. Du bør gå gjennom anbefalingene for å sikre at du utfører de riktige handlingene i tilfelle koblingen blir kompromittert.

    Når du er ferdig i undermenyen Opphev blokkeringen av enheten , velger du Opphev blokkering.

    Obs!

    Det kan ta opptil 1 time før alle begrensninger fjernes fra koblingen.

Kontroller varselinnstillingene for begrensede koblinger

Standard varslingspolicy med navnet Mistenkelig koblingsaktivitet varsler automatisk administratorer når koblinger blokkeres fra å videresende e-post. Hvis du vil ha mer informasjon om varslingspolicyer, kan du se Varselpolicyer i Microsoft Defender-portalen.

Viktig

Hvis varsler skal fungere, må overvåkingslogging være slått på (den er aktivert som standard). Hvis du vil kontrollere at overvåkingslogging er aktivert eller aktiverer den, kan du se Aktivere eller deaktivere overvåking.

  1. Gå til Policyer for & samarbeid> &regler> forvarsling i Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til siden for varslingspolicy , kan du bruke https://security.microsoft.com/alertpoliciesv2.

  2. Finn varselet kalt Mistenkelig koblingsaktivitetvarselpolicysiden. Du kan sortere varslene etter navn eller bruke Søk-boksen til å finne varselet.

    Velg varselet om mistenkelig koblingsaktivitet ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet.

  3. Kontroller eller konfigurer følgende innstillinger i undermenyen mistenkelig koblingsaktivitet :

    • Status: Kontroller at varselet er slått på .

    • Utvid delen Angi mottakere , og bekreft grenseverdiene for mottakere og daglig varsling .

      Hvis du vil endre verdiene, velger du Rediger mottakerinnstillinger i inndelingen eller velger Rediger policy øverst i undermenyen.

      • På siden Bestem om du vil varsle personer når dette varselet utløses i veiviseren som åpnes, må du kontrollere eller endre følgende innstillinger:

        • Kontroller at det er valgt valg av e-postvarsler .
        • E-postmottakere: Standardverdien er TenantAdmins (som betyr globale administratormedlemmer ). Hvis du vil legge til flere mottakere, klikker du i det tomme området i boksen. Det vises en liste over mottakere, og du kan begynne å skrive inn et navn for å filtrere og velge en mottaker. Fjern en eksisterende mottaker fra boksen ved å velge ved siden av navnet.
        • Daglig varslingsgrense: Standardverdien er Ingen grense.

        Når du er ferdig med å bestemme om du vil varsle personer når dette varselet utløses , velger du Neste.

      • Velg Send inn på siden Se gjennom innstillingene, og velg deretter Ferdig.

  4. Tilbake i undermenyen for mistenkelig koblingsaktivitet velger du øverst i undermenyen.

Bruk Exchange Online PowerShell til å vise og fjerne koblinger fra siden Begrensede enheter

Hvis du vil vise listen over koblinger som er begrenset fra å sende e-post, kjører du følgende kommando i Exchange Online PowerShell:

Get-BlockedConnector

Hvis du vil vise detaljer om en bestemt blokkert kobling, erstatter <du ConnectorID> med GUID-verdien for koblingen, og deretter kjører du følgende kommando:

Get-BlockedConnector -ConnectorId <ConnectorID> | Format-List

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Get-BlockedConnector.

Hvis du vil fjerne en kobling fra listen over begrensede enheter, erstatter <du ConnectorID> med GUID-verdien for koblingen, og deretter kjører du følgende kommando:

Remove-BlockedConnector -ConnectorId <ConnectorID>

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Remove-BlockedConnector.

Mer informasjon