Geblokkeerde connectors verwijderen van de pagina Beperkte entiteiten

• Van toepassing op:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

In Microsoft 365-organisaties met postvakken in Exchange Online of zelfstandige Exchange Online Protection -organisaties (EOP) zonder Exchange Online-postvakken, gebeuren er verschillende dingen als een binnenkomende connector wordt gedetecteerd als mogelijk gecompromitteerd:

• De connector kan geen e-mail verzenden of doorsturen.

• De connector wordt toegevoegd aan de pagina Beperkte entiteiten in de Microsoft Defender portal.

  Een beperkte entiteit is een gebruikersaccount of een connector die is geblokkeerd voor het verzenden van e-mail vanwege aanwijzingen van inbreuk. Dit omvat meestal het overschrijden van de limieten voor het ontvangen en verzenden van berichten.

• Als de connector wordt gebruikt om e-mail te verzenden, wordt het bericht geretourneerd in een rapport over niet-bezorging (ook wel een NDR of niet-bezorgd bericht genoemd) met de foutcode 550;5.7.711 en de volgende tekst:

Uw bericht kan niet worden bezorgd. De meest voorkomende reden hiervoor is dat de e-mailconnector van uw organisatie wordt verdacht van het verzenden van spam of phishing en het niet langer is toegestaan om e-mail te verzenden. Neem contact op met uw e-mailbeheerder voor hulp. Externe server heeft '550 geretourneerd; 5.7.711 Toegang geweigerd, ongeldige binnenkomende connector. AS(2204)."

Zie Reageren op een gecompromitteerde connector voor meer informatie over gecompromitteerde connectors en hoe u deze weer onder controle kunt krijgen.

In de procedures in dit artikel wordt uitgelegd hoe beheerders connectors kunnen verwijderen van de pagina Beperkte entiteiten in de Microsoft Defender portal of in Exchange Online PowerShell.

Zie Geblokkeerde gebruikers verwijderen van de pagina Beperkte entiteiten voor meer informatie over gecompromitteerde gebruikersaccounts en hoe u deze kunt verwijderen van de pagina Beperkte entiteiten.

Wat moet u weten voordat u begint?

• Open de Microsoft Defender-portal op https://security.microsoft.com. Als u rechtstreeks naar de pagina Beperkte entiteiten wilt gaan, gebruikt u https://security.microsoft.com/restrictedentities.

• Zie Verbinding maken met Exchange Online PowerShell als u verbinding wilt maken met Exchange Online PowerShell.

• Aan u moeten machtigingen zijn toegewezen voordat u de procedures in dit artikel kunt uitvoeren. U hebt de volgende opties:

  • Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC) (alleen van invloed op de Defender-portal, niet op PowerShell): Autorisatie en instellingen/Beveiligingsinstellingen/Beveiligingsinstellingen/Detectie afstemmen (beheren) of Autorisatie en instellingen/Beveiligingsinstellingen/Kernbeveiligingsinstellingen (lezen).
  • Exchange Online machtigingen:
    • Verwijder connectors van de pagina Beperkte entiteiten: Lidmaatschap van de rolgroepen Organisatiebeheer of Beveiligingsbeheerder .
    • Alleen-lezentoegang tot de pagina Beperkte entiteiten: Lidmaatschap van de rollengroepen Globale lezer, Beveiligingslezer of Alleen-weergeven organisatiebeheer .
  • Microsoft Entra machtigingen: lidmaatschap van de rollen Globale beheerder, Beveiligingsbeheerder, Globale lezer of Beveiligingslezer geeft gebruikers de vereiste machtigingen en machtigingen voor andere functies in Microsoft 365.

• Voordat u de procedures in dit artikel volgt om een connector te verwijderen van de pagina Beperkte entiteiten , moet u de vereiste stappen volgen om de controle over de connector te herstellen, zoals beschreven in Reageren op een gecompromitteerde connector.

Een connector verwijderen van de pagina Beperkte entiteiten in de Microsoft Defender-portal

1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Email & samenwerking>Beperkte>entiteiten beoordelen. Als u rechtstreeks naar de pagina Beperkte entiteiten wilt gaan, gebruikt u https://security.microsoft.com/restrictedentities.

2. Op de pagina Beperkte entiteiten identificeert u de connector die u wilt deblokkeren. De waarde van de entiteit is Connector.

   Selecteer een kolomkop om op die kolom te sorteren.

   Als u de lijst met entiteiten wilt wijzigen van normale in compacte afstand, selecteert u Lijstafstand wijzigen in compact of normaal en selecteert u Vervolgens Lijst comprimeren.

   Gebruik het vak Search en een bijbehorende waarde om specifieke connectors te zoeken.

3. Selecteer de connector om de blokkering op te heffen door het selectievakje voor de entiteit in te schakelen en vervolgens de actie Deblokkeren te selecteren die op de pagina wordt weergegeven.

4. Lees in de flyout Entiteit deblokkeren die wordt geopend de details over de beperkte connector. U moet de aanbevelingen doorlopen om ervoor te zorgen dat u de juiste acties onderneemt voor het geval de connector wordt aangetast.

   Wanneer u klaar bent in de flyout entiteit Deblokkeren , selecteert u Deblokkeren.

   Opmerking

   Het kan tot 1 uur duren voordat alle beperkingen uit de connector zijn verwijderd.

Controleer de waarschuwingsinstellingen voor beperkte connectors

Het standaardwaarschuwingsbeleid met de naam Verdachte connectoractiviteit waarschuwt beheerders automatisch wanneer connectors worden geblokkeerd voor het doorgeven van e-mail. Zie Waarschuwingsbeleid in de Microsoft Defender-portal voor meer informatie over waarschuwingsbeleid.

Belangrijk

Waarschuwingen werken alleen als auditlogboekregistratie is ingeschakeld (standaard ingeschakeld). Zie Controle in- of uitschakelen om te controleren of auditlogboekregistratie is ingeschakeld of om dit in te schakelen.

1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Email & samenwerkingsbeleid>& regels>Waarschuwingsbeleid. Als u rechtstreeks naar de pagina Waarschuwingsbeleid wilt gaan, gebruikt u https://security.microsoft.com/alertpoliciesv2.

2. Zoek op de pagina Waarschuwingsbeleid de waarschuwing met de naam Verdachte connectoractiviteit. U kunt de waarschuwingen sorteren op naam of het vak Search gebruiken om de waarschuwing te vinden.

   Selecteer de waarschuwing Verdachte connectoractiviteit door ergens in de rij te klikken, behalve het selectievakje naast de naam.

3. Controleer of configureer de volgende instellingen in de flyout Verdachte connectoractiviteit die wordt geopend:

   • Status: controleer of de waarschuwing is ingeschakeld .

   • Vouw de sectie Uw geadresseerden instellen uit en controleer de limietwaarden voor geadresseerden en dagelijkse meldingen .

     Als u de waarden wilt wijzigen, selecteert u Instellingen voor geadresseerden bewerken in de sectie of selecteert u Beleid bewerken bovenaan de flyout.

     • Controleer of wijzig de volgende instellingen op de pagina Bepalen of u personen wilt waarschuwen wanneer deze waarschuwing wordt geactiveerd van de wizard die wordt geopend:

       • Controleer of Aanmelden voor e-mailmeldingen is geselecteerd.
       • Email geadresseerden: de standaardwaarde is TenantAdmins (dat wil zeggen, leden van globale beheerder). Als u meer geadresseerden wilt toevoegen, klikt u in het lege gebied van het vak. Er wordt een lijst met geadresseerden weergegeven en u kunt een naam typen om te filteren en een geadresseerde te selecteren. Verwijder een bestaande geadresseerde uit het vak door naast de naam te selecteren.
       • Dagelijkse meldingslimiet: de standaardwaarde is Geen limiet.

       Wanneer u klaar bent op de pagina Bepalen of u personen op de hoogte wilt stellen wanneer deze waarschuwing wordt geactiveerd , selecteert u Volgende.

     • Selecteer op de pagina Uw instellingen controlerende optie Verzenden en selecteer vervolgens Gereed.

4. Selecteer in de flyout Verdachte connectoractiviteit bovenaan de flyout.

Gebruik Exchange Online PowerShell om connectors weer te geven en te verwijderen van de pagina Met beperkte entiteiten

Voer de volgende opdracht uit in Exchange Online PowerShell om de lijst met connectors weer te geven waarvoor geen e-mail kan worden verzonden:

Get-BlockedConnector

Als u details over een specifieke geblokkeerde connector wilt weergeven, vervangt u ConnectorID> door <de GUID-waarde van de connector en voert u de volgende opdracht uit:

Get-BlockedConnector -ConnectorId <ConnectorID> | Format-List

Zie Get-BlockedConnector voor gedetailleerde syntaxis- en parameterinformatie.

Als u een connector wilt verwijderen uit de lijst Met beperkte entiteiten, vervangt u ConnectorID> door <de GUID-waarde van de connector en voert u de volgende opdracht uit:

Remove-BlockedConnector -ConnectorId <ConnectorID>

Zie Remove-BlockedConnector voor gedetailleerde syntaxis- en parameterinformatie.

Meer informatie

• Reageren op een gecompromitteerde connector
• Geblokkeerde gebruikers verwijderen