Geblokkeerde gebruikers verwijderen van de pagina Beperkte entiteiten

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

In Microsoft 365-organisaties met postvakken in Exchange Online of zelfstandige Exchange Online Protection (EOP)-organisaties zonder Exchange Online postvakken, gebeuren er verschillende dingen als een gebruiker de uitgaande verzendlimieten van de service of de limieten in uitgaand spambeleid overschrijdt:

  • De gebruiker mag geen e-mail verzenden, maar kan wel e-mail ontvangen.

  • De gebruiker wordt toegevoegd aan de pagina Beperkte entiteiten in de Microsoft Defender portal.

    Een beperkte entiteit is een gebruikersaccount of een connector die is geblokkeerd voor het verzenden van e-mail vanwege aanwijzingen van inbreuk. Dit omvat meestal het overschrijden van de limieten voor het ontvangen en verzenden van berichten.

  • Als de gebruiker e-mail probeert te verzenden, wordt het bericht geretourneerd in een rapport over niet-bezorging (ook wel een NDR of niet-bezorgdbericht genoemd) met de foutcode 5.1.8 en de volgende tekst:

'Uw bericht kan niet worden bezorgd omdat u niet als een geldige afzender bent herkend. De meest voorkomende reden hiervoor is dat het e-mailadres verdacht is van het verzenden van spam en dat er geen e-mail meer mag worden verzonden. Neem contact op met uw e-mailbeheerder voor hulp. Externe server retourneerde '550 5.1.8 Toegang geweigerd, slechte uitgaande afzender.'

Zie Reageren op een gecompromitteerd e-mailaccount voor meer informatie over gecompromitteerde gebruikersaccounts en hoe u deze weer onder controle kunt krijgen.

In de procedures in dit artikel wordt uitgelegd hoe beheerders gebruikersaccounts kunnen verwijderen van de pagina Beperkte entiteiten in de Microsoft Defender portal of in Exchange Online PowerShell.

Zie Geblokkeerde connectors verwijderen van de pagina Beperkte entiteiten voor meer informatie over gecompromitteerde connectors en hoe u deze verwijdert van de pagina Beperkte entiteiten.

Wat moet u weten voordat u begint?

  • U opent de Microsoft Defender portal op https://security.microsoft.com. Als u rechtstreeks naar de pagina met Beperkte gebruikers wilt gaan, gebruikt u https://security.microsoft.com/restrictedusers.

  • Zie Verbinding maken met Exchange Online PowerShell als je verbinding wilt maken met Exchange Online PowerShell.

  • Aan u moeten machtigingen zijn toegewezen voordat u de procedures in dit artikel kunt uitvoeren. U hebt de volgende opties:

    • Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC) (alleen van invloed op de Defender-portal, niet op PowerShell): Autorisatie en instellingen/Beveiligingsinstellingen/Beveiligingsinstellingen/Core Security-instellingen (beheren) of Autorisatie en instellingen/Beveiligingsinstellingen/Core Security-instellingen (lezen).
    • Exchange Online machtigingen:
      • Gebruikersaccounts verwijderen van de pagina Beperkte entiteiten: Lidmaatschap van de rolgroepen Organisatiebeheer of Beveiligingsbeheerder .
      • Alleen-lezentoegang tot de pagina Beperkte entiteiten: Lidmaatschap van de rollengroepen Globale lezer, Beveiligingslezer of Alleen-weergeven organisatiebeheer .
    • Microsoft Entra machtigingen: lidmaatschap van de rollen Globale beheerder, Beveiligingsbeheerder, Globale lezer of Beveiligingslezer geeft gebruikers de vereiste machtigingen en machtigingen voor andere functies in Microsoft 365.

  • Een afzender die de uitgaande e-maillimieten overschrijdt, is een indicator van een verdacht account. Voordat u de procedures in dit artikel volgt om een gebruiker te verwijderen van de pagina Met beperkte entiteiten, moet u de vereiste stappen volgen om de controle over het account terug te krijgen, zoals beschreven in Reageren op een gecompromitteerd e-mailaccount in Office 365.

Een gebruiker verwijderen van de pagina Beperkte entiteiten in de Microsoft Defender-portal

Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Email & samenwerking>Beperkte>entiteiten beoordelen. Als u rechtstreeks naar de pagina Beperkte entiteiten wilt gaan, gebruikt u https://security.microsoft.com/restrictedentities.

  1. Op de pagina Beperkte entiteiten identificeert u het gebruikersaccount dat u wilt deblokkeren. De waarde van de entiteit is Postvak.

    Selecteer een kolomkop om op die kolom te sorteren.

    Als u de lijst met entiteiten wilt wijzigen van normale in compacte afstand, selecteert u Lijstafstand wijzigen in compact of normaal en selecteert u Vervolgens Lijst comprimeren.

    Gebruik het vak Zoeken en een bijbehorende waarde om specifieke gebruikers te vinden.

  2. Selecteer de gebruiker die u wilt deblokkeren door het selectievakje voor de entiteit in te schakelen en vervolgens de actie Deblokkeren te selecteren die op de pagina wordt weergegeven.

  3. Lees in de flyout Gebruikers deblokkeren die wordt geopend de details over het beperkte account op de pagina Overzicht . Controleer of u de suggesties in de sectie Aanbevelingen hebt doorgenomen om te bevestigen dat het account niet is gecompromitteerd of om de controle over het account terug te krijgen.

    Wanneer u klaar bent op de pagina Overzicht , selecteert u Volgende.

  4. Houd op de pagina Blokkering van gebruiker opheffen rekening met de aanbevelingen en gebruik de koppelingen in de secties Meervoudige verificatie en Wachtwoord wijzigen om MFA in te schakelen en het wachtwoord van de gebruiker opnieuw in te stellen als u deze stappen nog niet hebt uitgevoerd. Het inschakelen van MFA en het opnieuw instellen van het wachtwoord is een goede verdediging tegen toekomstige inbreuk op accounts.

    Wanneer u klaar bent op de pagina Gebruiker deblokkeren, selecteert u Verzenden.

  5. Selecteer Ja in het waarschuwingsvenster dat wordt geopend.

    Opmerking

    In de meeste gevallen moeten alle beperkingen binnen één uur van de gebruiker worden verwijderd. Tijdelijke technische problemen kunnen een langere wachttijd veroorzaken, maar de totale wachttijd mag niet langer zijn dan 24 uur.

De instellingen voor de waarschuwing voor gebruikers met beperkte toegang verifiëren

Het standaardwaarschuwingsbeleid met de naam Gebruiker beperkt voor het verzenden van e-mail , waarschuwt beheerders automatisch wanneer gebruikers geen e-mail kunnen verzenden. Zie Waarschuwingsbeleid in de Microsoft Defender-portal voor meer informatie over waarschuwingsbeleid.

Belangrijk

Waarschuwingen werken alleen als auditlogboekregistratie is ingeschakeld (standaard ingeschakeld). Zie Controle in- of uitschakelen om te controleren of auditlogboekregistratie is ingeschakeld of om dit in te schakelen.

  1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar Email & samenwerkingsbeleid>& regels>Waarschuwingsbeleid. Als u rechtstreeks naar de pagina Waarschuwingsbeleid wilt gaan, gebruikt u https://security.microsoft.com/alertpoliciesv2.

  2. Zoek op de pagina Waarschuwingsbeleid de waarschuwing met de naam Gebruiker beperkt voor het verzenden van e-mail. U kunt de waarschuwingen sorteren op naam of het vak Zoeken gebruiken om de waarschuwing te vinden.

    Schakel het selectievakje Gebruiker kan geen e-mailwaarschuwing verzenden in door ergens in de rij te klikken, behalve het selectievakje naast de naam.

  3. Controleer of configureer de volgende instellingen in de flyout Gebruiker beperkt voor het verzenden van e-mail die wordt geopend:

    • Status: controleer of de waarschuwing is ingeschakeld .

    • Vouw de sectie Uw geadresseerden instellen uit en controleer de limietwaarden voor geadresseerden en dagelijkse meldingen .

      Als u de waarden wilt wijzigen, selecteert u Instellingen voor geadresseerden bewerken in de sectie of selecteert u Beleid bewerken bovenaan de flyout.

      • Controleer of wijzig de volgende instellingen op de pagina Bepalen of u personen wilt waarschuwen wanneer deze waarschuwing wordt geactiveerd van de wizard die wordt geopend:

        • Controleer of Aanmelden voor e-mailmeldingen is geselecteerd.
        • Email geadresseerden: de standaardwaarde is TenantAdmins (dat wil zeggen, leden van globale beheerder). Als u meer geadresseerden wilt toevoegen, klikt u in het lege gebied van het vak. Er wordt een lijst met geadresseerden weergegeven en u kunt een naam typen om te filteren en een geadresseerde te selecteren. Verwijder een bestaande geadresseerde uit het vak door naast de naam te selecteren.
        • Dagelijkse meldingslimiet: de standaardwaarde is Geen limiet.

        Wanneer u klaar bent op de pagina Bepalen of u personen op de hoogte wilt stellen wanneer deze waarschuwing wordt geactiveerd , selecteert u Volgende.

      • Selecteer op de pagina Uw instellingen controlerende optie Verzenden en selecteer vervolgens Gereed.

  4. Terug in de flyout *Gebruiker beperkt voor het verzenden van e-mail , selecteert u bovenaan de flyout.

Gebruik Exchange Online PowerShell om gebruikers weer te geven en te verwijderen van de pagina Entiteiten met beperkte toegang

Voer de volgende opdracht uit in Exchange Online PowerShell om deze lijst weer te geven met gebruikers die geen e-mail mogen verzenden:

Get-BlockedSenderAddress

Als u meer informatie over een specifieke gebruiker wilt bekijken, vervangt u <e-mailadres> door hun e-mailadres en voert u de volgende opdracht uit:

Get-BlockedSenderAddress -SenderAddress <emailaddress> | Format-List

Zie OntvangAdresGeblokkeerdeVerzender voor gedetailleerde syntaxis- en parameterinformatie.

Als u een gebruiker wilt verwijderen uit de lijst Met beperkte gebruikers, vervangt <u het e-mailadres> door het e-mailadres en voert u de volgende opdracht uit:

Remove-BlockedSenderAddress -SenderAddress <emailaddress>

Zie VerwijderAdresGeblokkeerdeVerzender voor gedetailleerde syntaxis- en parameterinformatie.

Meer informatie