Geblokkeerde connectors verwijderen van de pagina Beperkte entiteiten
Tip
Wist u dat u de functies in Microsoft Defender XDR voor Office 365 Abonnement 2 gratis kunt uitproberen? Gebruik de 90-daagse proefversie van Defender voor Office 365 in de proefversieshub van Microsoft Defender Portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Microsoft Defender voor Office 365 proberen.
In Microsoft 365-organisaties met postvakken in Exchange Online of zelfstandige EOP-organisaties (Exchange Online Protection) zonder Exchange Online-postvakken, gebeuren er verschillende dingen als een binnenkomende connector wordt gedetecteerd als mogelijk gecompromitteerd:
De connector kan geen e-mail verzenden of doorsturen.
De connector wordt toegevoegd aan de pagina Beperkte entiteiten in de Microsoft Defender-portal.
Een beperkte entiteit is een gebruikersaccount of een connector die is geblokkeerd voor het verzenden van e-mail vanwege aanwijzingen van inbreuk. Dit omvat meestal het overschrijden van de limieten voor het ontvangen en verzenden van berichten.
Als de connector wordt gebruikt om e-mail te verzenden, wordt het bericht geretourneerd in een rapport over niet-bezorging (ook wel een NDR of niet-bezorgd bericht genoemd) met de foutcode
550;5.7.711
en de volgende tekst:
Uw bericht kan niet worden bezorgd. De meest voorkomende reden hiervoor is dat de e-mailconnector van uw organisatie wordt verdacht van het verzenden van spam of phishing en het niet langer is toegestaan om e-mail te verzenden. Neem contact op met uw e-mailbeheerder voor hulp. Externe server heeft '550 geretourneerd; 5.7.711 Toegang geweigerd, ongeldige binnenkomende connector. AS(2204)."
Zie Reageren op een gecompromitteerde connector voor meer informatie over gecompromitteerde connectors en hoe u deze weer onder controle kunt krijgen.
In de procedures in dit artikel wordt uitgelegd hoe beheerders connectors kunnen verwijderen van de pagina Met beperkte entiteiten in de Microsoft Defender-portal of in Exchange Online PowerShell.
Zie Geblokkeerde gebruikers verwijderen van de pagina Beperkte entiteiten voor meer informatie over gecompromitteerde gebruikersaccounts en hoe u deze kunt verwijderen van de pagina Beperkte entiteiten.
Wat moet u weten voordat u begint?
Open de Microsoft Defender-portal op https://security.microsoft.com. Als u rechtstreeks naar de pagina Beperkte entiteiten wilt gaan, gebruikt u https://security.microsoft.com/restrictedentities.
Zie Verbinding maken met Exchange Online PowerShell als u verbinding wilt maken met Exchange Online PowerShell.
Aan u moeten machtigingen zijn toegewezen voordat u de procedures in dit artikel kunt uitvoeren. U beschikt tevens over de volgende opties:
Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC) (Als e-mail & samenwerking>Defender voor Office 365-machtigingenactief is. Alleen van invloed op de Defender-portal, niet op PowerShell: Autorisatie en instellingen/Beveiligingsinstellingen/Detectie afstemmen (beheren) of Autorisatie en instellingen/Beveiligingsinstellingen/Kernbeveiligingsinstellingen (lezen).
-
- Verwijder connectors van de pagina Beperkte entiteiten: Lidmaatschap van de rolgroepen Organisatiebeheer of Beveiligingsbeheerder .
- Alleen-lezentoegang tot de pagina Beperkte entiteiten: Lidmaatschap van de rollengroepen Globale lezer, Beveiligingslezer of Alleen-weergeven organisatiebeheer .
Microsoft Entra-machtigingen: lidmaatschap van de rollen Globale beheerder*, Beveiligingsbeheerder, Globale lezer of Beveiligingslezer geeft gebruikers de vereiste machtigingen en machtigingen voor andere functies in Microsoft 365.
Belangrijk
* Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Het gebruik van accounts met lagere machtigingen helpt de beveiliging voor uw organisatie te verbeteren. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.
Voordat u de procedures in dit artikel volgt om een connector te verwijderen van de pagina Beperkte entiteiten , moet u de vereiste stappen volgen om de controle over de connector te herstellen, zoals beschreven in Reageren op een gecompromitteerde connector.
Een connector verwijderen van de pagina Beperkte entiteiten in de Microsoft Defender-portal
Ga in de Microsoft Defender-portal op https://security.microsoft.comnaar E-mail & samenwerking>Beperkte>entiteiten beoordelen. Als u rechtstreeks naar de pagina Beperkte entiteiten wilt gaan, gebruikt u https://security.microsoft.com/restrictedentities.
Op de pagina Beperkte entiteiten identificeert u de connector die u wilt deblokkeren. De waarde van de entiteit is Connector.
Selecteer een kolomkop om op die kolom te sorteren.
Als u de lijst met entiteiten wilt wijzigen van normale in compacte afstand, selecteert u Lijstafstand wijzigen in compact of normaal en selecteert u Vervolgens Lijst comprimeren.
Gebruik het zoekvak en een bijbehorende waarde om specifieke connectors te zoeken.
Selecteer de connector om de blokkering op te heffen door het selectievakje voor de entiteit in te schakelen en vervolgens de actie Deblokkeren te selecteren die op de pagina wordt weergegeven.
Lees in de flyout Entiteit deblokkeren die wordt geopend de details over de beperkte connector. U moet de aanbevelingen doorlopen om ervoor te zorgen dat u de juiste acties onderneemt voor het geval de connector wordt aangetast.
Wanneer u klaar bent in de flyout entiteit Deblokkeren , selecteert u Deblokkeren.
Opmerking
Het kan tot 1 uur duren voordat alle beperkingen uit de connector zijn verwijderd.
Controleer de waarschuwingsinstellingen voor beperkte connectors
Het standaardwaarschuwingsbeleid met de naam Verdachte connectoractiviteit waarschuwt beheerders automatisch wanneer connectors worden geblokkeerd voor het doorgeven van e-mail. Zie Waarschuwingsbeleid in de Microsoft Defender-portal voor meer informatie over waarschuwingsbeleid.
Belangrijk
Waarschuwingen werken alleen als auditlogboekregistratie is ingeschakeld (standaard ingeschakeld). Zie Controle in- of uitschakelen om te controleren of auditlogboekregistratie is ingeschakeld of om dit in te schakelen.
Ga in de Microsoft Defender-portal op https://security.microsoft.comnaar E-mail & samenwerkingsbeleid>& regels>Waarschuwingsbeleid. Als u rechtstreeks naar de pagina Waarschuwingsbeleid wilt gaan, gebruikt u https://security.microsoft.com/alertpoliciesv2.
Zoek op de pagina Waarschuwingsbeleid de waarschuwing met de naam Verdachte connectoractiviteit. U kunt de waarschuwingen sorteren op naam of het vak Zoeken gebruiken om de waarschuwing te vinden.
Selecteer de waarschuwing Verdachte connectoractiviteit door ergens in de rij te klikken, behalve het selectievakje naast de naam.
Controleer of configureer de volgende instellingen in de flyout Verdachte connectoractiviteit die wordt geopend:
Status: controleer of de waarschuwing is ingeschakeld .
Vouw de sectie Uw geadresseerden instellen uit en controleer de limietwaarden voor geadresseerden en dagelijkse meldingen .
Als u de waarden wilt wijzigen, selecteert u Instellingen voor geadresseerden bewerken in de sectie of selecteert u Beleid bewerken bovenaan de flyout.
Controleer of wijzig de volgende instellingen op de pagina Bepalen of u personen wilt waarschuwen wanneer deze waarschuwing wordt geactiveerd van de wizard die wordt geopend:
- Controleer of Aanmelden voor e-mailmeldingen is geselecteerd.
- E-mailontvangers: de standaardwaarde is TenantAdmins (leden van globale beheerder ). Als u meer geadresseerden wilt toevoegen, klikt u in het lege gebied van het vak. Er wordt een lijst met geadresseerden weergegeven en u kunt een naam typen om te filteren en een geadresseerde te selecteren. Verwijder een bestaande geadresseerde uit het vak door naast de naam te selecteren.
- Dagelijkse meldingslimiet: de standaardwaarde is Geen limiet.
Wanneer u klaar bent op de pagina Bepalen of u personen op de hoogte wilt stellen wanneer deze waarschuwing wordt geactiveerd , selecteert u Volgende.
Selecteer op de pagina Uw instellingen controlerende optie Verzenden en selecteer vervolgens Gereed.
Selecteer in de flyout Verdachte connectoractiviteit bovenaan de flyout.
Exchange Online PowerShell gebruiken om connectors weer te geven en te verwijderen van de pagina Met beperkte entiteiten
Voer de volgende opdracht uit in Exchange Online PowerShell om de lijst met connectors weer te geven waarvoor geen e-mail kan worden verzonden:
Get-BlockedConnector
Als u details over een specifieke geblokkeerde connector wilt weergeven, vervangt u ConnectorID> door <de GUID-waarde van de connector en voert u de volgende opdracht uit:
Get-BlockedConnector -ConnectorId <ConnectorID> | Format-List
Zie Get-BlockedConnector voor gedetailleerde syntaxis- en parameterinformatie.
Als u een connector wilt verwijderen uit de lijst Met beperkte entiteiten, vervangt u ConnectorID> door <de GUID-waarde van de connector en voert u de volgende opdracht uit:
Remove-BlockedConnector -ConnectorId <ConnectorID>
Zie Remove-BlockedConnector voor gedetailleerde syntaxis- en parameterinformatie.