提示
您是否知道您可以免費試用適用於 Office 365 的 Microsoft Defender 方案 2 中的功能? 在 Microsoft Defender 入口網站試用中樞使用 90 天適用於 Office 365 的 Defender 試用版。 瞭解誰可以在試用適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
在所有具有雲端信箱的組織中,如果使用者超過 服務的輸出傳送限制 或 輸出垃圾郵件原則中的限制,就會發生數件事:
使用者被限制傳送電子郵件,但他們仍然可以接收電子郵件。
使用者會新增至 Microsoft Defender 入口網站中的 [受限制實體] 頁面。
受限制的實體是使用者帳戶或連接器,因為入侵跡象而無法傳送電子郵件,這通常包括超過郵件接收和傳送限制。
如果使用者嘗試傳送電子郵件,訊息會在未傳遞報告中傳回 (也稱為 NDR 或退信訊息) ,錯誤碼為 5.1.8 ,並顯示下列文字:
「因為您不是認可的有效寄件者,所以無法傳遞您的郵件。 最有可能發生此狀況的原因是您的電子郵件地址有傳送垃圾郵件的嫌疑,因此系統已不允許此電子郵件地址傳送電子郵件。 請連絡您的電子郵件系統管理員以取得協助。 遠端伺服器傳回 ‘550 5.1.8 存取被拒,錯誤的外寄寄件者。’」
如需遭入侵使用者帳戶以及如何重新取得控制權的詳細資訊,請參閱 回應遭入侵的電子郵件帳戶。
本文中的程式說明系統管理員如何從 Microsoft Defender 入口網站或 Exchange Online PowerShell 中的 [受限制實體] 頁面移除使用者帳戶。
如需遭入侵連接器以及如何從 [受限制的實體] 頁面移除這些連接器的詳細資訊,請參閱從 [受限制的實體] 頁面移除封鎖的連接器。
開始之前有哪些須知?
您可以在 開啟 https://security.microsoft.comMicrosoft Defender 入口網站。 若要直接移至 [受限使用者] 頁面, 請使用 https://security.microsoft.com/restrictedusers。
若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。
您必須先獲指派權限,才能執行本文中的程序。 您有下列選項:
Microsoft Defender 全面偵測回應 RBAC) (統一角色型存取控制 (如果Email &共同作業>適用於 Office 365 的 Defender權限為
[作用中]。只影響 Defender 入口網站,不影響 PowerShell) :授權和設定/安全性設定/核心安全性設定 (管理) 或授權和設定/安全性設定/核心安全性設定 (讀取) 。-
- 從 [受限制的實體] 頁面移除使用者帳戶: 組織管理 或 安全性系統管理員 角色群組中的成員資格。
- [受限制實體] 頁面的唯讀存取權: 全域讀取者、 安全性讀取者或 唯檢視組織管理 角色群組中的成員資格。
Microsoft Entra 許可權:全域系統管理員*、安全性系統管理員、全域讀取者或安全性讀取者角色的成員資格可為使用者提供 Microsoft 365 中其他功能所需的許可權和許可權。
重要事項
* Microsoft 強烈提倡最小權限原則。 僅為帳戶指派執行其任務所需的最低權限,有助於降低安全風險並加強組織的整體保護。 全域管理員是高度許可權的角色,您應該將其限制為緊急情況或當您無法使用其他角色時。
超過外寄電子郵件限制的寄件者是遭入侵帳戶的指標。 在遵循本文中的程式從 [受限制的實體] 頁面移除使用者之前,請務必遵循必要的步驟來重新取得帳戶的控制權,如在 Office 365 中回應遭入侵的電子郵件帳戶中所述。
從 Microsoft Defender 入口網站的 [受限制實體] 頁面移除使用者
在 的Microsoft Defender入口網站 https://security.microsoft.com中,移至Email &共同作業>檢閱>受限制的實體。 或者,若要直接移至 [ 受限制的實體 ] 頁面,請使用 https://security.microsoft.com/restrictedentities。
在 [ 受限制的實體 ] 頁面上,識別要解除封鎖的使用者帳戶。 [ 實體] 值為 [信箱]。
選取要依該欄排序的欄標題。
若要將圖元清單從一般間距變更為精簡間距,請選取
將清單間距變更為精簡或一般,然後選取
精簡清單。使用 [搜尋]
方塊和對應的值來尋找特定使用者。選取要解除封鎖的使用者,方法是選取實體的核取方塊,然後選取頁面上顯示的 [ 解除封鎖 ] 動作。
在開啟的 [ 解除封鎖使用者 ] 飛出視窗中,閱讀 [ 概觀 ] 頁面上受限制帳戶的詳細數據。 確認您已閱讀 「建議」 區段中的建議,以確認帳戶未遭入侵,或重新取得帳戶的控制權。
當您在 [ 概觀 ] 頁面上完成時,請選取 [ 下一步]。
在 [ 解除封鎖使用者] 頁面上,考慮建議,並使用 [ 多重要素驗證 ] 和 [變更密碼 ] 區段中的連結來 啟用 MFA 並 重設使用者的密碼 (如果您尚未完成這些步驟)。 啟用 MFA 和重設密碼是防止未來帳戶外洩的良好防禦措施。
當您在 [解除封鎖使用者] 頁面上完成時,請選取 [提交]。
在開啟的警告對話方塊中選取 [是 ]。
注意事項
在大多數情況下,應在一小時內從使用者身上移除所有限制。 暫時性技術問題可能會導致等待時間較長,但總等待時間不應超過 24 小時。
確認受限使用者的提醒設定
名為 [使用者限制傳送電子郵件的預設 警示原則] 會在使用者被封鎖傳送電子郵件時自動通知系統管理員。 如需警示原則的詳細資訊,請參閱 Microsoft Defender 入口網站中的警示原則。
重要事項
若要讓警示運作,稽核記錄必須開啟, (預設) 開啟。 若要確認稽核記錄已開啟或開啟,請參閱 開啟或關閉稽核。
在 Microsoft Defender入口網站 https://security.microsoft.com中,移至Email &共同作業>原則 & 規則>警示原則。 或者,若要直接移至 [警示原則 ] 頁面,請使用 https://security.microsoft.com/alertpoliciesv2。
在 [警示原則] 頁面上,尋找名為 [ 使用者限制傳送電子郵件] 的警示。 您可以依名稱排序警示,或使用 [搜尋]
方塊來尋找警示。選取 [ 使用者限制傳送電子郵件 警示] ,方法是按一下名稱旁邊的核取方塊以外的列中的任何位置。
在開啟的 [ 使用者限制傳送電子郵件 飛出視窗] 中,驗證或設定下列設定:
狀態:確認警示已開啟
。展開 設定您的收件者 區段 ,並驗證 收件者 和 每日通知限制 值。
若要變更值,請選取
區段中的 [編輯收件者設定],或選取飛出視窗頂端的 [編輯原則]。在開啟精靈的 [決定是否要在觸發此警示時通知人員 ] 頁面上,驗證或變更下列設定:
- 確認已選取 [選擇加入電子郵件通知]。
-
Email收件者:預設值為 TenantAdmins 群組 (全域系統管理員成員) 。 若要新增更多收件者,請按一下方塊的空白區域。 收件者清單隨即出現,您可以開始輸入名稱來篩選和選取收件者。 選取現有收件者名稱旁的 ,
從方塊中移除現有收件者。 - 每日通知限制:預設值為 無限制。
當您完成 [決定是否要在觸發此警示時通知人員] 頁面時,選取 [ 下一步]。
在 [ 檢閱您的設定 ] 頁面上,選取 [提交],然後選取 [完成]。
返回 [ 使用者限制傳送電子郵件飛出視窗],選取飛出視窗頂端的 。
使用 Exchange Online PowerShell 從 [受限制的實體] 頁面檢視和移除使用者
若要檢視此限制傳送電子郵件的使用者清單,請在 Exchange Online PowerShell 中執行下列命令:
Get-BlockedSenderAddress
若要檢視特定使用者的詳細資料,請執行下列命令並以其電子郵件地址取代 <emailaddress>:
Get-BlockedSenderAddress -SenderAddress <emailaddress> | Format-List
如需詳細的語法及參數資訊,請參閱 Get-BlockedSenderAddress。
若要從「受限制的使用者」清單中移除使用者,請將 emailaddress> 取代<為其電子郵件地址,然後執行下列命令:
Remove-BlockedSenderAddress -SenderAddress <emailaddress>
如需詳細的語法及參數資訊,請參閱 Remove-BlockedSenderAddress。