Fjerne blokkerte brukere fra siden Begrensede enheter

• Gjelder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

I Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online postbokser, skjer det flere ting hvis en bruker overskrider den utgående sendingsgrensen for tjenesten eller grensene i utgående søppelpostpolicyer:

• Brukeren er begrenset fra å sende e-post, men de kan fortsatt motta e-post.

• Brukeren legges til på siden Begrensede enheter i Microsoft Defender-portalen.

  En begrenset enhet er en brukerkonto eller en kobling som er blokkert fra å sende e-post på grunn av indikasjoner på kompromisser, som vanligvis inkluderer overskridelse av meldings mottak og sending av grenser.

• Hvis brukeren prøver å sende e-post, returneres meldingen i en rapport om manglende levering (også kjent som en NDR- eller returmelding) med feilkoden 5.1.8 og følgende tekst:

«Meldingen kan ikke leveres fordi du ikke ble gjenkjent som en gyldig avsender. Den vanligste årsaken til dette er at e-postadressen din er mistenkt for å sende søppelpost, og at den ikke lenger har lov til å sende e-post. Kontakt e-postadministratoren for å få hjelp. Remote Server returnerte 550 5.1.8 Ingen tilgang, ugyldig utgående avsender.

Hvis du vil ha mer informasjon om kompromitterte brukerkontoer og hvordan du får tilbake kontrollen over dem, kan du se Svare på en kompromittert e-postkonto.

Fremgangsmåtene i denne artikkelen forklarer hvordan administratorer kan fjerne brukerkontoer fra siden Begrensede enheter i Microsoft Defender-portalen eller i Exchange Online PowerShell.

Hvis du vil ha mer informasjon om kompromitterte koblinger og hvordan du fjerner dem fra siden Begrensede enheter , kan du se Fjerne blokkerte koblinger fra siden Begrensede enheter.

Hva må du vite før du begynner?

• Du åpner Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til siden Begrensede brukere , bruker https://security.microsoft.com/restrictedusersdu .

• Hvis du vil koble til Exchange Online PowerShell, kan du se Koble til Exchange Online PowerShell.

• Du må være tilordnet tillatelser før du kan utføre prosedyrene i denne artikkelen. Du har følgende alternativer:

  • Microsoft Defender XDR Unified role based access control (RBAC) (påvirker bare Defender-portalen, ikke PowerShell): Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (administrere) eller Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (lese).
  • Exchange Online tillatelser:
    • Fjern brukerkontoer fra siden Begrensede enheter: Medlemskap i rollegruppene Organisasjonsadministrasjon eller Sikkerhetsadministrator .
    • Skrivebeskyttet tilgang til siden Begrensede enheter: Medlemskap i rollegruppene Global Reader, Security Reader eller View-Only Organization Management .
  • Microsoft Entra tillatelser: Medlemskap i rollene global administrator, sikkerhetsadministrator, global leser eller sikkerhetsleser gir brukerne de nødvendige tillatelsene og tillatelsene for andre funksjoner i Microsoft 365.

• En avsender som overskrider grensene for utgående e-post, er en indikator på en kompromittert konto. Før du følger fremgangsmåtene i denne artikkelen for å fjerne en bruker fra siden Begrensede enheter, må du følge de nødvendige trinnene for å få tilbake kontrollen over kontoen som beskrevet i Svare på en kompromittert e-postkonto i Office 365.

Fjerne en bruker fra siden Begrensede enheter i Microsoft Defender-portalen

Gå til E-post & samarbeid>> Se gjennombegrensede enheter i Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til siden Begrensede enheter , kan du bruke https://security.microsoft.com/restrictedentities.

2. Identifiser brukerkontoen for å oppheve blokkeringen på siden Begrensede enheter . Enhetsverdien er postboks.

   Velg en kolonneoverskrift som skal sorteres etter denne kolonnen.

   Hvis du vil endre listen over enheter fra normal til kompakt avstand, velger du Endre listeavstand til kompakt eller normal, og deretter velger du Komprimer liste.

   Bruk Søk-boksen og en tilsvarende verdi til å finne bestemte brukere.

3. Velg brukeren du vil oppheve blokkeringen av ved å merke av for enheten, og velg deretter Opphev blokkeringen som vises på siden.

4. Les detaljene om den begrensede kontoen på Oversikt-siden i undermenyen Opphev blokkering av bruker som åpnes . Kontroller at du har gått gjennom forslagene i delen Anbefalinger for å bekrefte at kontoen ikke er kompromittert, eller for å få tilbake kontrollen over kontoen.

   Når du er ferdig på Oversikt-siden , velger du Neste.

5. Vurder anbefalingene og bruk koblingene i delene Godkjenning med flere faktorer og Endre passord på siden Opphev blokkering av bruker, og tilbakestill brukerens passord hvis du ikke allerede har gjort disse trinnene. Aktivering av MFA og tilbakestilling av passordet er et godt forsvar mot fremtidige kontokompromisser.

   Når du er ferdig på siden Fjern blokkeringen av bruker, velger du Send.

6. Velg Ja i advarselsdialogboksen som åpnes.

   Obs!

   Under de fleste omstendigheter skal alle begrensninger fjernes fra brukeren innen én time. Midlertidige tekniske problemer kan føre til lengre ventetid, men den totale ventetiden skal ikke være lenger enn 24 timer.

Kontroller varselinnstillingene for begrensede brukere

Standard varslingspolicy med navnet Bruker som er begrenset fra å sende e-post , varsler automatisk administratorer når brukere blokkeres fra å sende e-post. Hvis du vil ha mer informasjon om varslingspolicyer, kan du se Varselpolicyer i Microsoft Defender-portalen.

Viktig

Hvis varsler skal fungere, må overvåkingslogging være slått på (den er aktivert som standard). Hvis du vil kontrollere at overvåkingslogging er aktivert eller aktiverer den, kan du se Aktivere eller deaktivere overvåking.

1. Gå til Policyer for & samarbeid> &regler> forvarsling i Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til siden for varslingspolicy , kan du bruke https://security.microsoft.com/alertpoliciesv2.

2. Finn varselet med navnet Bruker som er begrenset fra å sende e-post, på siden Varselpolicy. Du kan sortere varslene etter navn eller bruke Søk-boksen til å finne varselet.

   Velg brukeren som er begrenset fra å sende e-postvarsel , ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av navnet.

3. Kontroller eller konfigurer følgende innstillinger i brukeren som er begrenset fra å sende undermeny for e-post som åpnes:

   • Status: Kontroller at varselet er slått på .

   • Utvid delen Angi mottakere , og bekreft grenseverdiene for mottakere og daglig varsling .

     Hvis du vil endre verdiene, velger du Rediger mottakerinnstillinger i inndelingen eller velger Rediger policy øverst i undermenyen.

     • På siden Bestem om du vil varsle personer når dette varselet utløses i veiviseren som åpnes, må du kontrollere eller endre følgende innstillinger:

       • Kontroller at det er valgt valg av e-postvarsler .
       • E-postmottakere: Standardverdien er TenantAdmins (som betyr globale administratormedlemmer ). Hvis du vil legge til flere mottakere, klikker du i det tomme området i boksen. Det vises en liste over mottakere, og du kan begynne å skrive inn et navn for å filtrere og velge en mottaker. Fjern en eksisterende mottaker fra boksen ved å velge ved siden av navnet.
       • Daglig varslingsgrense: Standardverdien er Ingen grense.

       Når du er ferdig med å bestemme om du vil varsle personer når dette varselet utløses , velger du Neste.

     • Velg Send inn på siden Se gjennom innstillingene, og velg deretter Ferdig.

4. Tilbake i *Bruker begrenset fra å sende undermeny for e-post , velg øverst i undermenyen.

Bruk Exchange Online PowerShell til å vise og fjerne brukere fra siden Begrensede enheter

Hvis du vil vise denne listen over brukere som er begrenset fra å sende e-post, kjører du følgende kommando i Exchange Online PowerShell:

Get-BlockedSenderAddress

Hvis du vil vise detaljer om en bestemt bruker, erstatter <du e-postadressen> med e-postadressen og kjører følgende kommando:

Get-BlockedSenderAddress -SenderAddress <emailaddress> | Format-List

Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Get-BlockedSenderAddress.

Hvis du vil fjerne en bruker fra listen over begrensede brukere, erstatter <du e-postadressen> med e-postadressen og kjører følgende kommando:

Remove-BlockedSenderAddress -SenderAddress <emailaddress>

Hvis du vil ha detaljert syntaks- og parameterinformasjon, kan du se Remove-BlockedSenderAddress.

Mer informasjon

• Svare på en kompromittert e-postkonto
• Fjerne blokkerte koblinger fra siden Begrensede enheter