从“受限实体”页中删除阻止的连接器

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

在Microsoft邮箱位于 Exchange Online 或独立Exchange Online Protection (EOP) 组织中没有Exchange Online邮箱的 365 个组织中,如果检测到入站连接器可能遭到入侵,将发生以下情况:

  • 连接器无法发送或中继电子邮件。

  • 连接器将添加到Microsoft Defender门户中的“受限实体”页。

    受限实体用户帐户连接器,由于存在泄露迹象而被阻止发送电子邮件,这通常包括超过邮件接收和发送限制。

  • 如果使用连接器发送电子邮件,则会在未送达的报告中返回邮件, (也称为 NDR 或退回邮件) ,错误代码 550;5.7.711 和以下文本:

无法传递邮件。 最常见的原因是组织的电子邮件连接器涉嫌发送垃圾邮件或网络钓鱼,并且不再允许发送电子邮件。 请联系电子邮件管理员获取帮助。 远程服务器返回了 '550;5.7.711 访问被拒绝,入站连接器错误。 AS (2204) 。

有关已泄露的连接器以及如何重新获得对它们的控制的详细信息,请参阅 响应已泄露的连接器

本文中的过程介绍了管理员如何从Microsoft Defender门户或 PowerShell Exchange Online“受限实体”页中删除连接器。

有关泄露的用户帐户以及如何从“受限实体”页中删除这些帐户的详细信息,请参阅从“受限实体”页中删除阻止的用户

开始前,有必要了解什么?

  • 在 处打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到 “受限实体 ”页,请使用 https://security.microsoft.com/restrictedentities

  • 若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell

  • 需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:

    • Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为活动。仅影响 Defender 门户,而不影响 PowerShell) :授权和设置/安全设置/检测优化 (管理) 授权和设置/安全设置/核心安全设置 (读取)

    • Exchange Online权限

      • 从“受限实体”页中删除连接器“组织管理 ”或 “安全管理员” 角色组中的成员身份。
      • 对“受限实体”页的只读访问权限“全局读取者”、“ 安全读取者”或 “仅查看组织管理 ”角色组中的成员身份。
    • Microsoft Entra权限全局管理员*安全管理员全局读取者安全读取者角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限权限。

      重要

      * Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

  • 在按照本文中的过程从 “受限制的实体 ”页中删除连接器之前,请务必按照所需的步骤重新获得连接器的控制,如 响应已泄露的连接器中所述。

从Microsoft Defender门户中的“受限实体”页中删除连接器

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,转到Email &协作>查看>受限实体。 或者,若要直接转到 “受限实体 ”页,请使用 https://security.microsoft.com/restrictedentities

  2. “受限实体 ”页上,标识要取消阻止的连接器。 “实体”值为“连接器”。

    选择列标题以按该列排序。

    若要将实体列表从普通间距更改为精简间距,请选择“ 将列表间距更改为精简或正常”,然后选择“ 压缩列表”。

    使用“ 搜索 ”框和相应的值查找特定连接器。

  3. 选择要取消阻止的连接器,方法是选择实体的“检查”框,然后选择页面上显示的“取消阻止”操作。

  4. 在打开的 “取消阻止实体 ”浮出控件中,阅读有关受限连接器的详细信息。 应完成建议,以确保在连接器遭到入侵时采取适当的措施。

    完成“ 取消阻止实体 ”浮出控件后,选择“ 取消阻止”。

    注意

    可能需要长达 1 小时才能从连接器中删除所有限制。

验证受限连接器的警报设置

当阻止连接器中继电子邮件时,名为 “可疑连接器活动 ”的默认警报策略会自动通知管理员。 有关警报策略的详细信息,请参阅 Microsoft Defender 门户中的警报策略

重要

若要使警报正常工作,审核日志记录必须处于打开状态, (默认) 启用。 若要验证审核日志记录是否已打开或打开,请参阅 打开或关闭审核

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,转到Email &协作>策略 & 规则>警报策略。 或者,若要直接转到 “警报策略 ”页,请使用 https://security.microsoft.com/alertpoliciesv2

  2. “警报策略 ”页上,找到名为 “可疑连接器活动”的警报。 可以按名称对警报进行排序,或使用“ 搜索 ”框查找警报。

    单击行中除名称旁边的“检查”框以外的任意位置,选择“可疑连接器活动警报”。

  3. 在打开的 可疑连接器活动 浮出控件中,验证或配置以下设置:

    • 状态:验证警报是否已 打开。

    • 展开 “设置收件人”部分 ,并验证“ 收件人 ”和 “每日通知”限制 值。

      若要更改值,请在部分选择“ 编辑收件人设置 ”或选择浮出控件顶部的“ 编辑策略 ”。

      • 在打开的向导的“ 决定是否要在触发此警报时通知用户 ”页上,验证或更改以下设置:

        • 验证是否选择了“选择加入电子邮件通知”。
        • Email收件人:默认值为 TenantAdmins (全局管理员成员) 。 若要添加更多收件人,请单击框的空白区域。 此时会显示收件人列表,你可以开始键入姓名以筛选和选择收件人。 通过选择现有收件人的姓名,从框中删除 现有收件人。
        • 每日通知限制:默认值为 “无限制”。

        完成“ 确定是否要在触发此警报时通知人员 ”页后,选择“ 下一步”。

      • 在“ 查看设置” 页上,选择“ 提交”,然后选择“ 完成”。

  4. 返回“ 可疑连接器活动 ”浮出控件,选择 浮出控件顶部。

使用 Exchange Online PowerShell 查看和删除“受限实体”页中的连接器

若要查看限制发送电子邮件的连接器列表,请在 Exchange Online PowerShell 中运行以下命令:

Get-BlockedConnector

若要查看有关特定受阻止连接器的详细信息,请将 ConnectorID> 替换为<连接器的 GUID 值,然后运行以下命令:

Get-BlockedConnector -ConnectorId <ConnectorID> | Format-List

有关详细语法和参数信息,请参阅 Get-BlockedConnector

若要从“受限实体”列表中删除连接器,请将 ConnectorID> 替换为<连接器的 GUID 值,然后运行以下命令:

Remove-BlockedConnector -ConnectorId <ConnectorID>

有关详细的语法和参数信息,请参阅 Remove-BlockedConnector

更多信息