Поделиться через

Удаление заблокированных соединителей на странице Ограниченные сущности

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных организациях Exchange Online Protection (EOP) без Exchange Online почтовых ящиков при обнаружении входящего соединителя как потенциально скомпрометированного происходит несколько действий:

  • Соединитель не может отправлять или ретрансляцию электронной почты.

  • Соединитель добавляется на страницу Ограниченные сущности на портале Microsoft Defender.

    Ограниченная сущность — это учетная запись пользователя или соединитель, который заблокирован для отправки электронной почты из-за признаков компрометации, что обычно включает превышение ограничений на получение и отправку сообщений.

  • Если соединитель используется для отправки электронной почты, сообщение возвращается в отчете о недоставке (также известном как недоставка или сообщение с отказом) с кодом 550;5.7.711 ошибки и следующим текстом:

Не удалось доставить сообщение. Наиболее распространенная причина этого заключается в том, что соединитель электронной почты вашей организации подозревается в отправке спама или фишинга, и ему больше не разрешено отправлять сообщения электронной почты. Обратитесь за помощью к администратору электронной почты. Удаленный сервер вернул '550; 5.7.711 Доступ запрещен, плохой соединитель для входящего трафика. AS(2204).'

Дополнительные сведения о скомпрометированных соединителях и восстановлении контроля над ними см. в статье Реагирование на скомпрометированный соединитель.

В процедурах, описанных в этой статье, объясняется, как администраторы могут удалять соединители со страницы Ограниченные сущности на портале Microsoft Defender или в Exchange Online PowerShell.

Дополнительные сведения о скомпрометированных учетных записях пользователей и их удалении на странице Ограниченные сущности см. в разделе Удаление заблокированных пользователей на странице Ограниченные сущности.

Что нужно знать перед началом работы

  • Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Ограниченные сущности, используйте .https://security.microsoft.com/restrictedentities

  • Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

  • Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

    • Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (если Email & совместной работы>Defender для Office 365 разрешения активны. Затрагивает только портал Defender, а не PowerShell: авторизация и параметры/Параметры безопасности/Настройка обнаружения (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).

    • разрешения Exchange Online:

      • Удалите соединители на странице Ограниченные сущности: членство в группах ролей "Управление организацией" или "Администратор безопасности ".
      • Доступ только для чтения к странице Ограниченные сущности: членство в группах ролей "Глобальный читатель", "Читатель безопасности" или "Управление организацией только для просмотра ".

    • Microsoft Entra разрешения. Членство в ролях "Глобальный администратор*", "Администратор безопасности", "Глобальный читатель" или "Читатель безопасности" предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

      Важно!

      * Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

  • Перед выполнением процедур, описанных в этой статье по удалению соединителя со страницы Ограниченные сущности , обязательно выполните необходимые действия, чтобы восстановить контроль над соединителем, как описано в разделе Ответить на скомпрометированный соединитель.

Удаление соединителя на странице Ограниченные сущности на портале Microsoft Defender

  1. На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Email & совместной работы>проверка>ограниченных сущностей. Или, чтобы перейти непосредственно на страницу Ограниченные сущности , используйте https://security.microsoft.com/restrictedentities.

  2. На странице Ограниченные сущности определите соединитель для разблокировки. Значение EntityConnector.

    Выберите заголовок столбца для сортировки по столбцу.

    Чтобы изменить список сущностей с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.

    Используйте поле Поиск и соответствующее значение, чтобы найти определенные соединители.

  3. Выберите соединитель для разблокировки, выбрав поле проверка для сущности, а затем выберите действие Разблокировать, которое появится на странице.

  4. Во всплывающем окне Разблокировать сущность ознакомьтесь со сведениями о соединителе с ограниченным доступом. Вам следует выполнить рекомендации, чтобы убедиться, что вы выполняете правильные действия в случае компрометации соединителя.

    По завершении во всплывающем окне Разблокировать сущность выберите Разблокировать.

    Примечание.

    Для удаления всех ограничений из соединителя может потребоваться до 1 часа.

Проверка параметров оповещений для соединителей с ограниченным доступом

Политика оповещений по умолчанию с именем Подозрительные действия соединителя автоматически уведомляет администраторов о том, что соединители заблокированы для ретрансляции электронной почты. Дополнительные сведения о политиках оповещений см. в статье Политики оповещений на портале Microsoft Defender.

Важно!

Для работы оповещений необходимо включить ведение журнала аудита (по умолчанию оно включено). Чтобы убедиться, что ведение журнала аудита включено или включить его, см. статью Включение и отключение аудита.

  1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите Email & политики совместной работы>& правила>Политика оповещений. Или, чтобы перейти непосредственно на страницу политики оповещений , используйте https://security.microsoft.com/alertpoliciesv2.

  2. На странице Политика оповещений найдите оповещение с именем Подозрительное действие соединителя. Вы можете отсортировать оповещения по имени или использовать поле Поиска, чтобы найти оповещение.

    Выберите оповещение о подозрительных действиях соединителя, щелкнув в любом месте строки, кроме поля проверка рядом с именем.

  3. Во всплывающем окне Действия подозрительного соединителя проверьте или настройте следующие параметры:

    • Состояние: убедитесь, что оповещение включено .

    • Разверните раздел Настройка получателей и проверьте значения "Получатели" и "Ежедневное ограничение уведомлений ".

      Чтобы изменить значения, выберите Изменить параметры получателя в разделе или выберите Изменить политику в верхней части всплывающего окна.

      • На странице Решение о том, хотите ли вы уведомлять пользователей о активации этого оповещения в открывшемся мастере, проверьте или измените следующие параметры:

        • Убедитесь, что выбрано согласие на Уведомления по электронной почте.
        • Email получателей. Значение по умолчанию — TenantAdmins (членыглобального администратора). Чтобы добавить дополнительных получателей, щелкните пустую область поля. Появится список получателей, и вы можете начать вводить имя для фильтрации и выбора получателя. Удалите существующего получателя из поля, щелкнув рядом с его именем.
        • Ограничение на ежедневное уведомление. Значение по умолчанию — No limit.

        Завершив работу на странице Решите, хотите ли вы уведомлять людей о активации этого оповещения , нажмите кнопку Далее.

      • На странице Просмотр параметров выберите Отправить, а затем — Готово.

  4. Вернитесь во всплывающее окно Подозрительные действия соединителя и выберите в верхней части всплывающего окна.

Использование Exchange Online PowerShell для просмотра и удаления соединителей со страницы ограниченных сущностей

Чтобы просмотреть список соединителей, которым запрещена отправка электронной почты, выполните следующую команду в Exchange Online PowerShell:

Get-BlockedConnector

Чтобы просмотреть сведения о конкретном заблокированном соединителе, замените <ConnectorID> значением GUID соединителя, а затем выполните следующую команду:

Get-BlockedConnector -ConnectorId <ConnectorID> | Format-List

Подробные сведения о синтаксисе и параметрах см. в разделе Get-BlockedConnector.

Чтобы удалить соединитель из списка Ограниченные сущности, замените <ConnectorID> значением GUID соединителя, а затем выполните следующую команду:

Remove-BlockedConnector -ConnectorId <ConnectorID>

Подробные сведения о синтаксисе и параметрах см. в разделе Remove-BlockedConnector.

Дополнительная информация