Remover usuários bloqueados da página entidades restritas

• Aplica-se a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

No Microsoft 365 organizações com caixas de correio em organizações de Exchange Online ou EOP (Proteção do Exchange Online autônomo) sem caixas de correio Exchange Online, várias coisas acontecem se um usuário exceder os limites de envio de saída do serviço ou os limites nas políticas de spam de saída:

• O usuário está impedido de enviar email, mas ainda pode receber email.

• O usuário é adicionado à página Entidades restritas no portal Microsoft Defender.

  Uma entidade restrita é uma conta de usuário ou um conector que está impedido de enviar email devido a indicações de comprometimento, o que normalmente inclui exceder os limites de recebimento e envio de mensagens.

• Se o usuário tentar enviar email, a mensagem será retornada em um relatório de não entrega (também conhecido como NDR ou mensagem de salto) com o código de erro 5.1.8 e o seguinte texto:

"A mensagem não pôde ser entregue porque você não foi reconhecido como um remetente válido. O motivo mais comum para isso é que seu endereço de email é suspeito de enviar spam e não tem mais permissão para enviar emails. Fale com o administrador para obter assistência. O servidor remoto retornou ' 550 5.1.8 acesso negado, remetente de saída incorreto ".

Para obter mais informações sobre contas de usuário comprometidas e como recuperar o controle delas, consulte Respondendo a uma conta de email comprometida.

Os procedimentos neste artigo explicam como os administradores podem remover contas de usuário da página entidades restritas no portal Microsoft Defender ou no Exchange Online PowerShell.

Para obter mais informações sobre conectores comprometidos e como removê-los da página Entidades restritas , consulte Remover conectores bloqueados da página Entidades restritas.

Do que você precisa saber para começar?

• Abra o portal Microsoft Defender em https://security.microsoft.com. Para ir diretamente para a página Usuários restritos, use https://security.microsoft.com/restrictedusers.

• Para se conectar ao PowerShell do Exchange Online, confira Conectar ao PowerShell do Exchange Online.

• Você precisa receber permissões para fazer os procedimentos neste artigo. Você tem as seguintes opções:

  • Microsoft Defender XDR RBAC (controle de acesso baseado em função unificada) (afeta apenas o portal do Defender, não o PowerShell): configurações e configurações de segurança/Configurações de segurança principal/configurações de segurança principal (gerenciar) ou Configurações e configurações/Configurações de segurança/Configurações de Segurança Principal (leitura).
  • Exchange Online permissões:
    • Remover contas de usuário da página Entidades restritas: Associação nos grupos de funções gerenciamento de organização ou administrador de segurança .
    • Acesso somente leitura à página entidades restritas: Associação nos grupos de funções Leitor Global, Leitor de Segurança ou Gerenciamento de Organização Somente Exibição .
  • Microsoft Entra permissões: a associação nas funções Administrador Global, Administrador de Segurança, Leitor Global ou Leitor de Segurança fornece aos usuários as permissões e permissões necessárias para outros recursos no Microsoft 365.

• Um remetente que exceder os limites de email de saída é um indicador de uma conta comprometida. Antes de seguir os procedimentos neste artigo para remover um usuário da página Entidades restritas, siga as etapas necessárias para recuperar o controle da conta, conforme descrito em Responder a uma conta de email comprometida no Office 365.

Remover um usuário da página entidades restritas no portal Microsoft Defender

No portal Microsoft Defender em https://security.microsoft.com, acesse Email & colaboração>Examinar>entidades restritas. Ou, para ir diretamente para a página Entidades restritas , use https://security.microsoft.com/restrictedentities.

2. Na página Entidades restritas , identifique a conta de usuário para desbloquear. O valor da entidade é Caixa de correio.

   Selecione um cabeçalho de coluna para classificar por essa coluna.

   Para alterar a lista de entidades de espaçamento normal para compacto, selecione Alterar espaçamento de lista para compacto ou normal e selecione Lista compacta.

   Use a caixa Pesquisa e um valor correspondente para localizar usuários específicos.

3. Selecione o usuário para desbloquear selecionando a caixa marcar para a entidade e, em seguida, selecionando a ação Desbloquear que aparece na página.

4. No flyout de usuário do Unblock que é aberto, leia os detalhes sobre a conta restrita na página Visão geral . Verifique se você passou pelas sugestões na seção Recomendações para confirmar que a conta não está comprometida ou para recuperar o controle da conta.

   Quando terminar na página Visão geral , selecione Avançar.

5. Na página Desbloquear usuário, considere as recomendações e use os links nas seções Autenticação multifator e Alterar senha para Habilitar MFA e Redefinir a senha do usuário se você ainda não tiver feito essas etapas. Habilitar o MFA e redefinir a senha é uma boa defesa em relação ao compromisso futuro da conta.

   Quando terminar na página Desbloquear usuário, selecione Enviar.

6. Selecione Sim na caixa de diálogo de aviso que é aberta.

   Observação

   Na maioria das circunstâncias, todas as restrições devem ser removidas do usuário dentro de uma hora. Problemas técnicos transitórios podem causar um tempo de espera maior, mas a espera total não deve ser mais do que 24 horas.

Verifique as configurações de alertados usuários restritos

A política de alerta padrão chamada Usuário restrita de enviar email notifica automaticamente os administradores quando os usuários são impedidos de enviar email. Para obter mais informações sobre políticas de alerta, consulte Políticas de alerta no portal Microsoft Defender.

Importante

Para que os alertas funcionem, o registro em log de auditoria deve ser ativado (ele está ativado por padrão). Para verificar se o log de auditoria está ativado ou para ativá-lo, consulte Ativar ou desativar a auditoria.

1. No portal Microsoft Defender no https://security.microsoft.com, acesse Email &políticas de & regras> de colaboração>Políticas de alerta. Ou, para ir diretamente para a página política de alerta , use https://security.microsoft.com/alertpoliciesv2.

2. Na página Política de alerta , localize o alerta chamado Usuário restrito ao envio de email. Você pode classificar os alertas pelo nome ou usar a caixa Pesquisa para localizar o alerta.

   Selecione o Usuário restrito ao envio de alerta de email clicando em qualquer lugar da linha diferente da caixa marcar ao lado do nome.

3. No Usuário impedido de enviar um flyout de email que abre, verifique ou configure as seguintes configurações:

   • Status: verifique se o alerta está ativado .

   • Expanda a seção Definir seus destinatários e verifique os valores de limite de notificação dedestinatários e diários.

     Para alterar os valores, selecione Editar configurações de destinatário na seção ou selecione Editar política na parte superior do flyout.

     • Na página Decidir se você deseja notificar as pessoas quando esse alerta for disparado do assistente que abre, verifique ou altere as seguintes configurações:

       • Verifique se o opt-in para notificações por email está selecionado.
       • Email destinatários: o valor padrão é TenantAdmins (ou seja, membros do Administrador Global). Para adicionar mais destinatários, clique na área vazia da caixa. Uma lista de destinatários é exibida e você pode começar a digitar um nome para filtrar e selecionar um destinatário. Remova um destinatário existente da caixa selecionando ao lado de seu nome.
       • Limite de notificação diária: o valor padrão não é limite.

       Quando você terminar na página Decidir se deseja notificar as pessoas quando esse alerta for disparado , selecione Avançar.

     • Na página Revisar suas configurações , selecione Enviar e selecione Concluído.

4. De volta ao *Usuário impedido de enviar o flyout de email, selecione na parte superior do flyout.

Use Exchange Online PowerShell para exibir e remover usuários da página entidades restritas

Para exibir essa lista de usuários que estão impedidos de enviar email, execute o seguinte comando no Exchange Online PowerShell:

Get-BlockedSenderAddress

Para visualizar detalhes de um usuário específico, substitua <emailaddress> pelo endereço de e-mails e execute o seguinte comando:

Get-BlockedSenderAddress -SenderAddress <emailaddress> | Format-List

Para obter mais informações detalhadas de sintaxe e parâmetro, consulte Get-BlockedSenderAddress.

Para remover um usuário da lista de usuários restritos, substitua <emailaddress> pelo endereço de email e execute o seguinte comando:

Remove-BlockedSenderAddress -SenderAddress <emailaddress>

Para obter mais informações detalhadas de sintaxe e parâmetro, consulte Remove-BlockedSenderAddress.

Mais informações

• Responder a uma conta de email comprometida
• Remover conectores bloqueados da página Entidades restritas