Удаление заблокированных пользователей на странице Ограниченные сущности
Совет
Знаете ли вы, что можете бесплатно опробовать функции XDR в Microsoft Defender для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и использовать условия пробной версии, см. в статье Пробная версия Microsoft Defender для Office 365.
В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных организациях Exchange Online Protection (EOP) без почтовых ящиков Exchange Online происходит несколько действий, если пользователь превышает ограничения на исходящие отправки службы или ограничения в политиках исходящей нежелательной почты:
Пользователю запрещено отправлять сообщения электронной почты, но он по-прежнему может получать сообщения электронной почты.
Пользователь будет добавлен на страницу Ограниченные сущности на портале Microsoft Defender.
Ограниченная сущность — это учетная запись пользователя или соединитель, который заблокирован для отправки электронной почты из-за признаков компрометации, что обычно включает превышение ограничений на получение и отправку сообщений.
Если пользователь пытается отправить сообщение электронной почты, сообщение возвращается в отчете о недоставке (также известном как сообщение о недоставке или отказе) с кодом ошибки 5.1.8 и следующим текстом:
"Не удалось доставить сообщение, так как система не распознала вас как допустимого отправителя. Причина проблемы чаще всего связана с предположительной рассылкой нежелательной почты с вашего электронного адреса. Поэтому с него не разрешено отправлять сообщения. Обратитесь за помощью к администратору электронной почты. Удаленный сервер вернул ошибку "550 5.1.8. Отказано в доступе: недопустимый отправитель".
Дополнительные сведения о скомпрометированных учетных записях пользователей и о том, как восстановить контроль над ними, см. в статье Реагирование на скомпрометированную учетную запись электронной почты.
В процедурах, описанных в этой статье, объясняется, как администраторы могут удалять учетные записи пользователей со страницы Ограниченные сущности на портале Microsoft Defender или в Exchange Online PowerShell.
Дополнительные сведения о скомпрометированных соединителях и их удалении на странице Ограниченные сущности см. в разделе Удаление заблокированных соединителей на странице Ограниченные сущности.
Что нужно знать перед началом работы
Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Перейдите на страницу Пользователи с ограниченным доступом по ссылке https://security.microsoft.com/restrictedusers.
Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.
Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:
Единое управление доступом на основе ролей (RBAC) в Microsoft Defender XDR (если активны разрешения Microsoft Defender & совместной работы>Defender для Office 365. Влияет только на портал Defender, а не На PowerShell: авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).
-
- Удаление учетных записей пользователей на странице Ограниченные сущности: членство в группах ролей "Управление организацией" или "Администратор безопасности ".
- Доступ только для чтения к странице Ограниченные сущности: членство в группах ролей "Глобальный читатель", "Читатель безопасности" или "Управление организацией только для просмотра ".
Разрешения Microsoft Entra. Членство в ролях "Глобальный администратор*", "Администратор безопасности", "Глобальный читатель" или "Читатель безопасности" предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.
Важно!
* Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Если отправитель превысил лимит сообщений исходящей почты, это свидетельствует о возможной компрометации учетной записи. Перед выполнением процедур, описанных в этой статье, чтобы удалить пользователя со страницы Ограниченные сущности , обязательно выполните необходимые действия, чтобы восстановить контроль над учетной записью, как описано в статье Реагирование на скомпрометированную учетную запись электронной почты в Office 365.
Удаление пользователя на странице Ограниченные сущности на портале Microsoft Defender
На портале Microsoft Defender по адресу перейдите в https://security.microsoft.comраздел Электронная почта & совместной работы>Проверка>ограниченных сущностей. Или, чтобы перейти непосредственно на страницу Ограниченные сущности , используйте https://security.microsoft.com/restrictedentities.
На странице Ограниченные сущности укажите учетную запись пользователя для разблокировки. Значение Сущности — Почтовый ящик.
Выберите заголовок столбца для сортировки по столбцу.
Чтобы изменить список сущностей с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.
Используйте поле Поиск и соответствующее значение для поиска определенных пользователей.
Выберите пользователя для разблокировки, установив флажок для сущности, а затем выберите действие Разблокировать , которое появится на странице.
В открывавшемся всплывающем окне Разблокировать пользователя ознакомьтесь со сведениями об учетной записи с ограниченным доступом на странице Обзор . Убедитесь, что вы выполнили рекомендации в разделе Рекомендации , чтобы убедиться, что учетная запись не скомпрометирована, или восстановить контроль над учетной записью.
Завершив работу на странице Обзор , нажмите кнопку Далее.
На странице Разблокировать пользователя рассмотрите рекомендации и используйте ссылки в разделах Многофакторная проверка подлинности и Изменение пароля , чтобы включить MFA и сбросить пароль пользователя , если вы еще не выполнили эти действия. Включение MFA и сброс пароля являются хорошей защитой от будущих компрометации учетной записи.
Завершив работу на странице Разблокировать пользователя, нажмите кнопку Отправить.
Выберите Да в открывшемся диалоговом окне предупреждения.
Примечание.
В большинстве случаев все ограничения должны быть сняты с пользователя в течение одного часа. Временные технические проблемы могут привести к более длительному времени ожидания, но общее время ожидания не должно превышать 24 часа.
Проверка параметров оповещений для пользователей с ограниченным доступом
Политика оповещений по умолчанию с именем Пользователь не может отправлять сообщения электронной почты , автоматически уведомляет администраторов о том, что пользователи заблокированы для отправки электронной почты. Дополнительные сведения о политиках оповещений см. в статье Политики оповещений на портале Microsoft Defender.
Важно!
Для работы оповещений необходимо включить ведение журнала аудита (по умолчанию оно включено). Чтобы убедиться, что ведение журнала аудита включено или включить его, см. статью Включение и отключение аудита.
На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Электронная почта & политики совместной работы>& правила>Политика оповещений. Или, чтобы перейти непосредственно на страницу политики оповещений , используйте https://security.microsoft.com/alertpoliciesv2.
На странице Политика оповещений найдите оповещение с именем Пользователь не может отправлять сообщения электронной почты. Вы можете отсортировать оповещения по имени или использовать поле Поиска, чтобы найти оповещение.
Установите флажок Пользователь не может отправлять оповещение по электронной почте, щелкнув в любом месте строки, кроме флажка рядом с именем.
В открывающемся всплывающем окне Пользователь не может отправлять сообщение электронной почты , проверьте или настройте следующие параметры:
Состояние: убедитесь, что оповещение включено .
Разверните раздел Настройка получателей и проверьте значения "Получатели" и "Ежедневное ограничение уведомлений ".
Чтобы изменить значения, выберите Изменить параметры получателя в разделе или выберите Изменить политику в верхней части всплывающего окна.
На странице Решение о том, хотите ли вы уведомлять пользователей о активации этого оповещения в открывшемся мастере, проверьте или измените следующие параметры:
- Убедитесь , что выбрано согласие на отправку уведомлений по электронной почте .
- Получатели электронной почты: по умолчанию используется значение TenantAdmins group (членыглобального администратора ). Чтобы добавить дополнительных получателей, щелкните пустую область поля. Появится список получателей, и вы можете начать вводить имя для фильтрации и выбора получателя. Удалите существующего получателя из поля, щелкнув рядом с его именем.
- Ограничение на ежедневное уведомление. Значение по умолчанию — No limit.
Завершив работу на странице Решите, хотите ли вы уведомлять людей о активации этого оповещения , нажмите кнопку Далее.
На странице Просмотр параметров выберите Отправить, а затем — Готово.
Вернитесь к всплывающему элементу Пользователь, ограниченный от отправки электронной почты , выберите в верхней части всплывающего окна.
Использование Exchange Online PowerShell для просмотра и удаления пользователей со страницы ограниченных сущностей
Чтобы просмотреть этот список пользователей, которым запрещена отправка электронной почты, выполните следующую команду в Exchange Online PowerShell:
Get-BlockedSenderAddress
Чтобы отобразить сведения об определенном пользователе, выполните следующую команду, заменив выражение <emailaddress> электронным адресом пользователя:
Get-BlockedSenderAddress -SenderAddress <emailaddress> | Format-List
Подробные сведения о синтаксисе и параметрах см. в статье Get-BlockedSenderAddress.
Чтобы удалить пользователя из списка ограниченных пользователей, замените <emailaddress его адресом электронной почты> и выполните следующую команду:
Remove-BlockedSenderAddress -SenderAddress <emailaddress>
Подробные сведения о синтаксисе и параметрах см. в статье Remove-BlockedSenderAddress.