Удаление заблокированных пользователей на странице Ограниченные сущности

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных Exchange Online Protection организаций без Exchange Online почтовых ящиков происходит несколько вещей, если пользователь превышает ограничения для исходящей отправки службы или ограничения в политиках исходящей нежелательной почты:

  • Пользователю запрещено отправлять сообщения электронной почты, но он по-прежнему может получать сообщения электронной почты.

  • Пользователь добавляется на страницу Ограниченные сущности на портале Microsoft Defender.

    Ограниченная сущность — это учетная запись пользователя или соединитель, который заблокирован для отправки электронной почты из-за признаков компрометации, что обычно включает превышение ограничений на получение и отправку сообщений.

  • Если пользователь пытается отправить сообщение электронной почты, сообщение возвращается в отчете о недоставке (также известном как сообщение о недоставке или отказе) с кодом ошибки 5.1.8 и следующим текстом:

"Не удалось доставить сообщение, так как система не распознала вас как допустимого отправителя. Причина проблемы чаще всего связана с предположительной рассылкой нежелательной почты с вашего электронного адреса. Поэтому с него не разрешено отправлять сообщения. Обратитесь за помощью к администратору электронной почты. Удаленный сервер вернул ошибку "550 5.1.8. Отказано в доступе: недопустимый отправитель".

Дополнительные сведения о скомпрометированных учетных записях пользователей и о том, как восстановить контроль над ними, см. в статье Реагирование на скомпрометированную учетную запись электронной почты.

В процедурах, описанных в этой статье, объясняется, как администраторы могут удалять учетные записи пользователей на странице Ограниченные сущности на портале Microsoft Defender или в Exchange Online PowerShell.

Дополнительные сведения о скомпрометированных соединителях и их удалении на странице Ограниченные сущности см. в разделе Удаление заблокированных соединителей на странице Ограниченные сущности.

Что нужно знать перед началом работы

  • Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Перейдите на страницу Пользователи с ограниченным доступом по ссылке https://security.microsoft.com/restrictedusers.

  • Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

  • Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

    • Microsoft Defender XDR Единое управление доступом на основе ролей (RBAC) (влияет только на портал Defender, а не PowerShell): авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Параметры безопасности Core (чтение).
    • разрешения Exchange Online:
      • Удаление учетных записей пользователей на странице Ограниченные сущности: членство в группах ролей "Управление организацией" или "Администратор безопасности ".
      • Доступ только для чтения к странице Ограниченные сущности: членство в группах ролей "Глобальный читатель", "Читатель безопасности" или "Управление организацией только для просмотра ".
    • Microsoft Entra разрешения. Членство в ролях глобального администратора, администратора безопасности, глобального читателя или читателя безопасности предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

  • Если отправитель превысил лимит сообщений исходящей почты, это свидетельствует о возможной компрометации учетной записи. Перед выполнением процедур, описанных в этой статье, чтобы удалить пользователя со страницы Ограниченные сущности, обязательно выполните необходимые действия, чтобы восстановить контроль над учетной записью, как описано в разделе Реагирование на скомпрометированную учетную запись электронной почты в Office 365.

Удаление пользователя на странице Ограниченные сущности на портале Microsoft Defender

На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Email & совместной работы>проверка>ограниченных сущностей. Или, чтобы перейти непосредственно на страницу Ограниченные сущности , используйте https://security.microsoft.com/restrictedentities.

  1. На странице Ограниченные сущности укажите учетную запись пользователя для разблокировки. Значение СущностиПочтовый ящик.

    Выберите заголовок столбца для сортировки по столбцу.

    Чтобы изменить список сущностей с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.

    Используйте поле Поиск и соответствующее значение для поиска конкретных пользователей.

  2. Выберите пользователя для разблокировки, выбрав поле проверка для сущности, а затем выберите действие Разблокировать, которое появится на странице.

  3. В открывавшемся всплывающем окне Разблокировать пользователя ознакомьтесь со сведениями об учетной записи с ограниченным доступом на странице Обзор . Убедитесь, что вы выполнили рекомендации в разделе Рекомендации , чтобы убедиться, что учетная запись не скомпрометирована, или восстановить контроль над учетной записью.

    Завершив работу на странице Обзор , нажмите кнопку Далее.

  4. На странице Разблокировать пользователя рассмотрите рекомендации и используйте ссылки в разделах Многофакторная проверка подлинности и Изменение пароля , чтобы включить MFA и сбросить пароль пользователя , если вы еще не выполнили эти действия. Включение MFA и сброс пароля являются хорошей защитой от будущих компрометации учетной записи.

    Завершив работу на странице Разблокировать пользователя, нажмите кнопку Отправить.

  5. Выберите Да в открывшемся диалоговом окне предупреждения.

    Примечание.

    В большинстве случаев все ограничения должны быть сняты с пользователя в течение одного часа. Временные технические проблемы могут привести к более длительному времени ожидания, но общее время ожидания не должно превышать 24 часа.

Проверка параметров оповещений для пользователей с ограниченным доступом

Политика оповещений по умолчанию с именем Пользователь не может отправлять сообщения электронной почты , автоматически уведомляет администраторов о том, что пользователи заблокированы для отправки электронной почты. Дополнительные сведения о политиках оповещений см. в статье Политики оповещений на портале Microsoft Defender.

Важно!

Для работы оповещений необходимо включить ведение журнала аудита (по умолчанию оно включено). Чтобы убедиться, что ведение журнала аудита включено или включить его, см. статью Включение и отключение аудита.

  1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите Email & политики совместной работы>& правила>Политика оповещений. Или, чтобы перейти непосредственно на страницу политики оповещений , используйте https://security.microsoft.com/alertpoliciesv2.

  2. На странице Политика оповещений найдите оповещение с именем Пользователь не может отправлять сообщения электронной почты. Вы можете отсортировать оповещения по имени или использовать поле Поиск, чтобы найти оповещение.

    Выберите оповещение о запрете отправки оповещений по электронной почте, щелкнув в любом месте строки, кроме проверка рядом с именем.

  3. В открывающемся всплывающем окне Пользователь не может отправлять сообщение электронной почты , проверьте или настройте следующие параметры:

    • Состояние: убедитесь, что оповещение включено .

    • Разверните раздел Настройка получателей и проверьте значения "Получатели" и "Ежедневное ограничение уведомлений ".

      Чтобы изменить значения, выберите Изменить параметры получателя в разделе или выберите Изменить политику в верхней части всплывающего окна.

      • На странице Решение о том, хотите ли вы уведомлять пользователей о активации этого оповещения в открывшемся мастере, проверьте или измените следующие параметры:

        • Убедитесь, что выбрано согласие на Уведомления по электронной почте.
        • Email получателей. Значение по умолчанию — TenantAdmins (то есть члены глобального администратора). Чтобы добавить дополнительных получателей, щелкните пустую область поля. Появится список получателей, и вы можете начать вводить имя для фильтрации и выбора получателя. Удалите существующего получателя из поля, щелкнув рядом с его именем.
        • Ограничение на ежедневное уведомление. Значение по умолчанию — No limit.

        Завершив работу на странице Решите, хотите ли вы уведомлять людей о активации этого оповещения , нажмите кнопку Далее.

      • На странице Просмотр параметров выберите Отправить, а затем — Готово.

  4. Вернитесь во всплывающее окно *Пользователь, ограниченный от отправки электронной почты , выберите в верхней части всплывающего окна.

Использование Exchange Online PowerShell для просмотра и удаления пользователей на странице Ограниченные сущности

Чтобы просмотреть этот список пользователей, которым запрещена отправка электронной почты, выполните следующую команду в Exchange Online PowerShell:

Get-BlockedSenderAddress

Чтобы отобразить сведения об определенном пользователе, выполните следующую команду, заменив выражение <emailaddress> электронным адресом пользователя:

Get-BlockedSenderAddress -SenderAddress <emailaddress> | Format-List

Подробные сведения о синтаксисе и параметрах см. в статье Get-BlockedSenderAddress.

Чтобы удалить пользователя из списка ограниченных пользователей, замените <emailaddress его адресом электронной почты> и выполните следующую команду:

Remove-BlockedSenderAddress -SenderAddress <emailaddress>

Подробные сведения о синтаксисе и параметрах см. в статье Remove-BlockedSenderAddress.

Дополнительная информация