從 [受限制的實體] 頁面移除封鎖的使用者

提示

您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款

在具有信箱 Exchange Online 或獨立 Exchange Online Protection (EOP 的 Microsoft 365 組織) 沒有 Exchange Online 信箱的組織中,如果使用者超過服務的輸出傳送限制輸出垃圾郵件原則的限制,就會發生幾件事:

  • 使用者無法傳送電子郵件,但仍然可以接收電子郵件。

  • 使用者會新增至 Microsoft Defender 入口網站中的 [受限制的實體] 頁面。

    受限制的實體使用者帳戶連接器,由於入侵的指示而無法傳送電子郵件,這通常包括超出訊息接收和傳送限制。

  • 如果使用者嘗試傳送電子郵件,則會在非傳遞報表中傳回訊息, (也稱為 NDR 或退回的郵件) ,錯誤碼為 5.1.8 ,並顯示下列文字:

「因為您不是認可的有效寄件者,所以無法傳遞您的郵件。 最有可能發生此狀況的原因是您的電子郵件地址有傳送垃圾郵件的嫌疑,因此系統已不允許此電子郵件地址傳送電子郵件。 請連絡您的電子郵件系統管理員以取得協助。 遠端伺服器傳回 ‘550 5.1.8 存取被拒,錯誤的外寄寄件者。’」

如需有關遭入侵用戶帳戶以及如何重新取得其控制權的詳細資訊,請參閱 回應遭入侵的電子郵件帳戶

本文中的程式說明系統管理員如何從 Microsoft Defender 入口網站的 [受限制的實體] 頁面或在 Exchange Online PowerShell 中移除使用者帳戶。

如需有關遭入侵 連接器 以及如何從 [ 受限制的實體 ] 頁面移除它們的詳細資訊,請參閱 從 [受限制的實體] 頁面移除封鎖的連接器

開始之前有哪些須知?

  • 您會在 開啟 Microsoft Defender 入口網站https://security.microsoft.com。 若要直接移至 [受限使用者] 頁面, 請使用 https://security.microsoft.com/restrictedusers

  • 若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell

  • 您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:

    • Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) (只會影響Defender入口網站,而不會影響PowerShell) : (管理) 的授權和設定/安全性設定/核心安全性設定 (讀取) 的授權和設定/安全性設定/核心安全性設定
    • Exchange Online 權限
      • 從 [受限制的實體] 頁面移除用戶帳戶組織管理安全性系統管理員 角色群組中的成員資格。
      • [受限制的實體] 頁面的唯讀存取權: 全域讀取者安全性讀取者僅限檢視組織管理 角色群組中的成員資格。
    • Microsoft Entra 權限:全域管理員、安全性系統管理員全域讀取者安全性讀取者角色的成員資格,可為使用者提供 Microsoft 365 中其他功能的必要許可權許可權。

  • 超過外寄電子郵件限制的寄件者是遭入侵帳戶的指標。 依照本文中的程式從 [受限制的實體] 頁面移除使用者之前,請務必遵循必要的步驟重新取得帳戶的控制權,如在 Office 365 中回應遭入侵的電子郵件帳戶中所述。

從 Microsoft Defender 入口網站的 [受限制的實體] 頁面移除使用者

在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 Email & 共同作業>檢閱>受限制的實體] 。 或者,若要直接移至 [ 受限制的實體] 頁面,請使用 https://security.microsoft.com/restrictedentities

  1. 在 [ 受限制的實體] 頁面上,識別要解除封鎖的用戶帳戶。 實體值為信箱

    選取要依該數據行排序的數據行標頭。

    若要將實體清單從一般變更為精簡間距,請選取 [將列表間距變更為精簡或正常],然後選取 [壓縮清單]

    使用 [搜尋] 方塊和對應的值來尋找特定使用者。

  2. 選取實體的複選框,然後選取頁面上顯示的 [ 解除封鎖 ] 動作,以選取要解除封鎖的使用者。

  3. 在開啟的 [ 解除封鎖使用者 ] 飛出視窗中,閱讀 [ 概觀 ] 頁面上受限制帳戶的詳細數據。 確認您已完成建議 一節中 的建議,以確認帳戶未遭入侵,或重新取得帳戶的控制權。

    當您在 [ 概觀 ] 頁面上完成時,請選取 [ 下一步]

  4. 在 [ 解除封鎖使用者] 頁面上,考慮建議並使用 [多重要素驗證 ] 和 [ 變更密碼 ] 區段中的連結,以 啟用 MFA ,如果您尚未完成這些步驟,請 重設使用者的密碼 。 啟用 MFA 和重設密碼是抵禦未來帳戶入侵的良好防禦措施。

    當您在 [ 解除封鎖使用者] 頁面上完成時,請選取 [ 提交]

  5. 在開啟的警告對話框中選取 [ ]。

    注意事項

    在大部分情況下,所有限制都應該在一小時內從使用者中移除。 暫時性技術問題可能會造成較長的等候時間,但總等候時間不應超過24小時。

確認受限使用者的提醒設定

名為 User restricted from sending email 的預設警示原則會在封鎖使用者傳送電子郵件時自動通知系統管理員。 如需警示原則的詳細資訊,請參閱 Microsoft Defender 入口網站中的警示原則

重要事項

若要讓警示能夠運作,必須開啟稽核記錄, (預設為開啟) 。 若要確認稽核記錄已開啟或開啟,請參閱 開啟或關閉稽核

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 Email & 共同作業>原則 & 規則>警示原則。 或者,若要直接移至 [警示 原則] 頁面,請使用 https://security.microsoft.com/alertpoliciesv2

  2. 在 [ 警示原則] 頁面上,尋找名為 [ 使用者限制傳送電子郵件] 的警示。 您可以依名稱排序警示,或使用 [搜尋] 方塊來尋找警示。

    按兩下名稱旁邊的複選框以外的數據列中的任何位置,選取 [限制使用者無法 傳送電子郵件 警示]。

  3. 在 [ 限制傳送電子郵件 ] 飛出視窗開啟的 [使用者] 中,確認或設定下列設定:

    • 狀態:確認警示已開啟

    • 展開 [ 設定收件者] 區段 ,並確認 [收件者] 和 [ 每日通知] 限制 值。

      若要變更值,請選取區段中的 [編輯收件者設定],或選取飛出視窗頂端的 [編輯原則]。

      • 在開啟精靈的 [ 決定是否要在觸發此警示時通知人員 ] 頁面上,確認或變更下列設定:

        • 確認 已選取 [選擇加入電子郵件通知 ]。
        • Email 收件者:預設值為 TenantAdmins (表示全域管理員成員) 。 若要新增更多收件者,請按兩下方塊的空白區域。 收件者清單隨即出現,您可以開始輸入名稱來篩選和選取收件者。 選取其名稱旁邊的 ,從方塊中移除現有的收件者。
        • 每日通知限制:預設值為 [無限制]

        當您在 [ 決定是否要在觸發此警示時通知人員 ] 頁面上完成時,請選取 [ 下一步]

      • 在 [ 檢閱您的設定] 頁面上,選取 [ 提交],然後選取 [ 完成]

  4. 回到 [受限制無法傳送電子郵件的使用者 ] 飛出視窗,選 取飛出視窗頂端的 。

使用 Exchange Online PowerShell 從 [受限制的實體] 頁面檢視和移除使用者

若要檢視此限制傳送電子郵件的使用者清單,請在 Exchange Online PowerShell 中執行下列命令:

Get-BlockedSenderAddress

若要檢視特定使用者的詳細資料,請執行下列命令並以其電子郵件地址取代 <emailaddress>:

Get-BlockedSenderAddress -SenderAddress <emailaddress> | Format-List

如需詳細的語法及參數資訊,請參閱 Get-BlockedSenderAddress

若要從 [限制的使用者] 清單中移除使用者,請將 emailaddress> 取代<為其電子郵件地址,然後執行下列命令:

Remove-BlockedSenderAddress -SenderAddress <emailaddress>

如需詳細的語法及參數資訊,請參閱 Remove-BlockedSenderAddress

其他相關資訊