Ta bort blockerade användare från sidan Begränsade entiteter

• Gäller för:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

I Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection organisationer (EOP) utan Exchange Online postlådor händer flera saker om en användare överskrider tjänstens utgående sändningsgränser eller gränserna för utgående skräppostprinciper:

• Användaren kan inte skicka e-post, men kan fortfarande ta emot e-post.

• Användaren läggs till på sidan Begränsade entiteter i Microsoft Defender-portalen.

  En begränsad entitet är ett användarkonto eller en anslutningsapp som blockeras från att skicka e-post på grund av tecken på intrång, vilket vanligtvis omfattar att överskrida gränserna för att ta emot och skicka meddelanden.

• Om användaren försöker skicka e-post returneras meddelandet i en rapport om utebliven leverans (kallas även NDR eller studsmeddelande) med felkoden 5.1.8 och följande text:

“Det gick inte att leverera meddelandet eftersom du inte godkändes som en giltig avsändare. Vanligtvis beror detta på att din e-postadress är misstänkt för att skicka skräppost och det är inte längre tillåten att skicka e-post. Kontakta e-postadministratören om du vill ha hjälp. Fjärrservern returnerade '550 5.1.8 åtkomst nekad, felaktig utgående avsändare”.

Mer information om komprometterade användarkonton och hur du återtar kontrollen över dem finns i Svara på ett komprometterat e-postkonto.

Procedurerna i den här artikeln förklarar hur administratörer kan ta bort användarkonton från sidan Begränsade entiteter i Microsoft Defender-portalen eller i Exchange Online PowerShell.

Mer information om komprometterade anslutningsappar och hur du tar bort dem från sidan Begränsade entiteter finns i Ta bort blockerade anslutningsappar från sidan Begränsade entiteter.

Vad behöver jag veta innan jag börjar?

• Du öppnar Microsoft Defender-portalen på https://security.microsoft.com. För att gå direkt till sidan Begränsade användare använd https://security.microsoft.com/restrictedusers.

• Information om hur du ansluter till Exchange Online PowerShell finns i Anslut till Exchange Online PowerShell.

• Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Du har följande alternativ:

  • Microsoft Defender XDR Enhetlig rollbaserad åtkomstkontroll (RBAC) (Påverkar endast Defender-portalen, inte PowerShell): Auktorisering och inställningar/Säkerhetsinställningar/Core Security-inställningar (hantera) eller auktorisering och inställningar/Säkerhetsinställningar/Kärnsäkerhetsinställningar (läs).
  • Exchange Online behörigheter:
    • Ta bort användarkonton från sidan Begränsade entiteter: Medlemskap i rollgrupperna Organisationshantering eller Säkerhetsadministratör .
    • Skrivskyddad åtkomst till sidan Begränsade entiteter: Medlemskap i rollgrupperna Global läsare, Säkerhetsläsare eller Visa endast organisationshantering .
  • Microsoft Entra behörigheter: Medlemskap i rollerna Global administratör, Säkerhetsadministratör, Global läsare eller Säkerhetsläsare ger användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365.

• En avsändare som överskrider gränsen för utgående e-post är ett bevis på ett komprometterat konto. Innan du följer anvisningarna i den här artikeln för att ta bort en användare från sidan Begränsade entiteter måste du följa de steg som krävs för att återfå kontrollen över kontot enligt beskrivningen i Svara på ett komprometterat e-postkonto i Office 365.

Ta bort en användare från sidan Begränsade entiteter i Microsoft Defender-portalen

I Microsoft Defender-portalen på https://security.microsoft.comgår du till Email & samarbete>Granska>begränsade entiteter. Om du vill gå direkt till sidan Begränsade entiteter använder du https://security.microsoft.com/restrictedentities.

2. På sidan Begränsade entiteter identifierar du det användarkonto som ska avblockeras. Entitetsvärdet är Postlåda.

   Välj en kolumnrubrik som ska sorteras efter den kolumnen.

   Om du vill ändra listan över entiteter från normalt till kompakt avstånd väljer du Ändra listavstånd till kompakt eller normal och väljer sedan Komprimera lista.

   Använd rutan Search och ett motsvarande värde för att hitta specifika användare.

3. Markera den användare som ska avblockeras genom att markera kryssrutan för entiteten och sedan välja åtgärden Avblockera som visas på sidan.

4. I den utfällbara menyn Avblockera användare som öppnas läser du informationen om det begränsade kontot på sidan Översikt . Kontrollera att du har gått igenom förslagen i avsnittet Rekommendationer för att bekräfta att kontot inte har komprometterats eller för att återfå kontrollen över kontot.

   När du är klar på sidan Översikt väljer du Nästa.

5. På sidan Avblockera användare bör du överväga rekommendationerna och använda länkarna i avsnitten Multifaktorautentisering och Ändra lösenord för att aktivera MFA och återställa användarens lösenord om du inte redan har gjort de här stegen. Att aktivera MFA och återställa lösenordet är ett bra skydd mot framtida kontointrång.

   När du är klar på sidan Avblockera användare väljer du Skicka.

6. Välj Ja i varningsdialogrutan som öppnas.

   Obs!

   Under de flesta omständigheter bör alla begränsningar tas bort från användaren inom en timme. Tillfälliga tekniska problem kan orsaka en längre väntetid, men den totala väntetiden bör inte vara längre än 24 timmar.

Verifiera aviseringsinställningarna för begränsade användare

Standardaviseringsprincipen med namnet Användare som är begränsad från att skicka e-post meddelar automatiskt administratörer när användare blockeras från att skicka e-post. Mer information om aviseringsprinciper finns i Aviseringsprinciper i Microsoft Defender-portalen.

Viktigt

För att aviseringar ska fungera måste granskningsloggning vara aktiverat (det är aktiverat som standard). Information om hur du kontrollerar att granskningsloggningen är aktiverad eller för att aktivera den finns i Aktivera eller inaktivera granskning.

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till Email & samarbetsprinciper>& regler>Aviseringsprincip. Om du vill gå direkt till sidan Aviseringsprincip använder du https://security.microsoft.com/alertpoliciesv2.

2. På sidan Aviseringsprincip letar du reda på aviseringen med namnet Användare begränsad från att skicka e-post. Du kan sortera aviseringarna efter namn eller använda rutan Search för att hitta aviseringen.

   Markera aviseringen Användare begränsad från att skicka e-post genom att klicka var som helst på raden, förutom kryssrutan bredvid namnet.

3. I den utfällbara menyn Användare som inte kan skicka e-post som öppnas kontrollerar eller konfigurerar du följande inställningar:

   • Status: Kontrollera att aviseringen är aktiverad .

   • Expandera avsnittet Ange mottagare och kontrollera gränsvärdena Mottagare och Daglig avisering .

     Om du vill ändra värdena väljer du Redigera mottagarinställningar i avsnittet eller väljer Redigera princip överst i den utfällbara menyn.

     • På sidan Bestäm om du vill meddela personer när den här aviseringen utlöses i guiden som öppnas kontrollerar eller ändrar du följande inställningar:

       • Kontrollera att Anmäl dig för e-postaviseringar har valts.
       • Email mottagare: Standardvärdet är TenantAdmins (det vill säga globala administratörsmedlemmar). Om du vill lägga till fler mottagare klickar du i rutans tomma område. En lista över mottagare visas och du kan börja skriva ett namn för att filtrera och välja en mottagare. Ta bort en befintlig mottagare från rutan genom att välja bredvid deras namn.
       • Daglig meddelandegräns: Standardvärdet är Ingen gräns.

       När du är klar på sidan Bestäm om du vill meddela personer när den här aviseringen utlöses väljer du Nästa.

     • På sidan Granska dina inställningar väljer du Skicka och sedan Klar.

4. Tillbaka i *Användaren har begränsats från att skicka utfälld e-post väljer du högst upp i den utfällbara menyn.

Använd Exchange Online PowerShell för att visa och ta bort användare från sidan Begränsade entiteter

Om du vill visa den här listan över användare som inte kan skicka e-post kör du följande kommando i Exchange Online PowerShell:

Get-BlockedSenderAddress

Om du vill visa information om särskilda användare ersätter du <E-postadress> med deras e-postadress och kör följande kommando:

Get-BlockedSenderAddress -SenderAddress <emailaddress> | Format-List

Se Get-BlockedSenderAddress för detaljerad information om syntax och parametrar.

Om du vill ta bort en användare från listan Över begränsade användare ersätter <du emailaddress> med deras e-postadress och kör följande kommando:

Remove-BlockedSenderAddress -SenderAddress <emailaddress>

Se Remove-BlockedSenderAddress för detaljerad information om syntax och parametrar.

Mer information

• Svara på ett komprometterat e-postkonto
• Ta bort blockerade anslutningsappar från sidan Begränsade entiteter