Fjern blokerede connectors fra siden Begrænsede enheder

• Gælder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

I Microsoft 365-organisationer med postkasser i Exchange Online eller enkeltstående Exchange Online Protection -organisationer (EOP) uden Exchange Online postkasser sker der flere ting, hvis en indgående connector registreres som potentielt kompromitteret:

• Connectoren forhindres i at sende eller videresende mail.

• Connectoren føjes til siden Begrænsede enheder på Microsoft Defender-portalen.

  En begrænset enhed er en brugerkonto eller en connector , der er blokeret fra at sende mail på grund af indikationer på kompromis, som typisk omfatter overskridelse af grænserne for modtagelse og afsendelse af meddelelser.

• Hvis connectoren bruges til at sende mail, returneres meddelelsen i en rapport om manglende levering (også kendt som en NDR eller manglende meddelelse) med fejlkoden 550;5.7.711 og følgende tekst:

Meddelelsen kunne ikke leveres. Den mest almindelige årsag til dette er, at din organisations mailconnector er mistænkt for at sende spam eller phish, og den har ikke længere tilladelse til at sende mail. Kontakt din mailadministrator for at få hjælp. Fjernserveren returnerede '550; 5.7.711 Adgang nægtet, forkert indgående connector. AS(2204).'

Du kan få flere oplysninger om kompromitterede connectors, og hvordan du får kontrol over dem igen, under Besvar en kompromitteret connector.

Procedurerne i denne artikel beskriver, hvordan administratorer kan fjerne connectors fra siden Begrænsede enheder på Microsoft Defender portalen eller i Exchange Online PowerShell.

Du kan få flere oplysninger om kompromitterede brugerkonti , og hvordan du fjerner dem fra siden Begrænsede enheder , under Fjern blokerede brugere fra siden Begrænsede enheder.

Hvad har du brug for at vide, før du begynder?

• Åbn Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til siden Begrænsede enheder , skal du bruge https://security.microsoft.com/restrictedentities.

• Hvis du vil oprette forbindelse til Exchange Online PowerShell, skal du se Opret forbindelse til Exchange Online PowerShell.

• Du skal have tildelt tilladelser, før du kan udføre procedurerne i denne artikel. Du har følgende muligheder:

  • Microsoft Defender XDR Unified role based access control (RBAC) (Påvirker kun Defender-portalen, ikke PowerShell): Godkendelse og indstillinger/Sikkerhedsindstillinger/Registreringsjustering (administrer) eller Godkendelses- og indstillinger/Sikkerhedsindstillinger/Kernesikkerhedsindstillinger (læs).
  • Exchange Online tilladelser:
    • Fjern forbindelser fra siden Begrænsede enheder: Medlemskab i rollegrupperne Organisationsadministration eller Sikkerhedsadministrator .
    • Skrivebeskyttet adgang til siden Begrænsede enheder: Medlemskab af rollegrupperne Global læser, Sikkerhedslæser eller Vis kun organisationsadministration .
  • Microsoft Entra tilladelser: Medlemskab af rollerne Global administrator, Sikkerhedsadministrator, Global læser eller Sikkerhedslæser giver brugerne de nødvendige tilladelser og tilladelser til andre funktioner i Microsoft 365.

• Før du følger procedurerne i denne artikel for at fjerne en connector fra siden Begrænsede enheder , skal du sørge for at følge de påkrævede trin for at få kontrol over connectoren igen, som beskrevet i Besvar en kompromitteret connector.

Fjern en connector fra siden Begrænsede enheder på portalen Microsoft Defender

1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & samarbejde>Gennemse>begrænsede enheder. Du kan også gå direkte til siden Begrænsede enheder ved at bruge https://security.microsoft.com/restrictedentities.

2. Identificer connectoren på siden Begrænsede enheder for at fjerne blokeringen. Enhedsværdien er Connector.

   Vælg en kolonneoverskrift, der skal sorteres efter den pågældende kolonne.

   Hvis du vil ændre listen over enheder fra normal til kompakt afstand, skal du vælge Skift listeafstand til kompakt eller normal og derefter vælge Kompakt liste.

   Brug feltet Søg og en tilsvarende værdi til at finde bestemte forbindelser.

3. Vælg den connector, du vil fjerne blokeringen af, ved at markere afkrydsningsfeltet for enheden, og vælg derefter handlingen Fjern blokering , der vises på siden.

4. I pop op-vinduet Fjern blokering af enhed , der åbnes, skal du læse oplysningerne om den begrænsede connector. Du bør gennemgå anbefalingerne for at sikre, at du foretager de korrekte handlinger, hvis connectoren kompromitteres.

   Når du er færdig i pop op-vinduet Fjern blokering af enhed , skal du vælge Fjern blokering.

   Bemærk!

   Det kan tage op til 1 time, før alle begrænsninger fjernes fra connectoren.

Kontrollér beskedindstillingerne for begrænsede connectors

Standardbeskedpolitikken med navnet Mistænkelig connectoraktivitet giver automatisk administratorer besked, når forbindelser blokeres fra at videresende mail. Du kan få flere oplysninger om politikker for beskeder under Beskedpolitikker på portalen Microsoft Defender.

Vigtigt!

Hvis beskeder skal fungere, skal overvågningslogføring være slået til (den er som standard slået til). Hvis du vil kontrollere, at overvågningslogføring er slået til, eller hvis du vil aktivere den, skal du se Slå overvågning til eller fra.

1. På Microsoft Defender-portalen på https://security.microsoft.comskal du gå til Mail & politikker for samarbejde>& regler>Beskedpolitik. Du kan også gå direkte til siden Beskedpolitik ved at bruge https://security.microsoft.com/alertpoliciesv2.

2. Find beskeden med navnet Mistænkelig forbindelsesaktivitet på siden Beskedpolitik. Du kan sortere beskederne efter navn eller bruge feltet Søg til at finde beskeden.

   Vælg beskeden Mistænkelig forbindelsesaktivitet ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for navnet.

3. I pop op-vinduet Mistænkelig connectoraktivitet , der åbnes, skal du bekræfte eller konfigurere følgende indstillinger:

   • Status: Kontrollér, at beskeden er slået til .

   • Udvid afsnittet Angiv dine modtagere , og bekræft grænseværdierne for modtagere og daglige beskeder .

     Hvis du vil ændre værdierne, skal du vælge Rediger modtagerindstillinger i sektionen eller vælge Rediger politik øverst i pop op-vinduet.

     • På siden Beslut, om du vil give personer besked, når denne besked udløses , i den guide, der åbnes, skal du kontrollere eller ændre følgende indstillinger:

       • Kontrollér, at Tilmelding for mailmeddelelser er valgt.
       • Mailmodtagere: Standardværdien er TenantAdmins (dvs. medlemmer af global administrator ). Hvis du vil tilføje flere modtagere, skal du klikke i feltets tomme område. Der vises en liste over modtagere, og du kan begynde at skrive et navn for at filtrere og vælge en modtager. Fjern en eksisterende modtager fra feltet ved at vælge ud for vedkommendes navn.
       • Grænse for daglig meddelelse: Standardværdien er Ingen grænse.

       Når du er færdig på siden Beslut, om du vil give personer besked, når denne besked udløses , skal du vælge Næste.

     • På siden Gennemse dine indstillinger skal du vælge Send og derefter vælge Udført.

4. Tilbage i pop op-vinduet Mistænkelig forbindelsesaktivitet skal du vælge øverst i pop op-vinduet.

Brug Exchange Online PowerShell til at få vist og fjerne connectors fra siden Begrænsede enheder

Kør følgende kommando i Exchange Online PowerShell for at få vist en liste over connectors, der ikke kan sende mails:

Get-BlockedConnector

Hvis du vil have vist detaljer om en bestemt blokeret connector, skal du erstatte <ConnectorID> med connectorens GUID-værdi og derefter køre følgende kommando:

Get-BlockedConnector -ConnectorId <ConnectorID> | Format-List

Du kan finde detaljerede oplysninger om syntaks og parametre under Get-BlockedConnector.

Hvis du vil fjerne en connector fra listen Begrænsede enheder, skal du erstatte <ConnectorID> med connectorens GUID-værdi og derefter køre følgende kommando:

Remove-BlockedConnector -ConnectorId <ConnectorID>

Du kan finde detaljerede oplysninger om syntaks og parametre under Remove-BlockedConnector.

Flere oplysninger

• Besvar en kompromitteret forbindelse
• Fjern blokerede brugere