Ta bort blockerade anslutningsappar från sidan Begränsade entiteter

• Gäller för:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

I Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection organisationer (EOP) utan Exchange Online postlådor händer flera saker om en inkommande anslutningsapp identifieras som potentiellt komprometterad:

• Anslutningsappen hindras från att skicka eller vidarebefordra e-post.

• Anslutningsappen läggs till på sidan Begränsade entiteter i Microsoft Defender-portalen.

  En begränsad entitet är ett användarkonto eller en anslutningsapp som blockeras från att skicka e-post på grund av tecken på intrång, vilket vanligtvis omfattar att överskrida gränserna för att ta emot och skicka meddelanden.

• Om anslutningsappen används för att skicka e-post returneras meddelandet i en rapport om utebliven leverans (kallas även för en NDR eller ett studsat meddelande) med felkoden 550;5.7.711 och följande text:

Det gick inte att leverera meddelandet. Den vanligaste orsaken till detta är att organisationens e-postanslutningsapp misstänks skicka skräppost eller nätfiske och att den inte längre får skicka e-post. Kontakta e-postadministratören om du vill ha hjälp. Fjärrservern returnerade '550; 5.7.711 Åtkomst nekad, felaktig inkommande anslutning. AS(2204).'

Mer information om komprometterade anslutningsappar och hur du återtar kontrollen över dem finns i Svara på en komprometterad anslutningsapp.

Procedurerna i den här artikeln beskriver hur administratörer kan ta bort anslutningsappar från sidan Begränsade entiteter i Microsoft Defender-portalen eller i Exchange Online PowerShell.

Mer information om komprometterade användarkonton och hur du tar bort dem från sidan Begränsade entiteter finns i Ta bort blockerade användare från sidan Begränsade entiteter.

Vad behöver jag veta innan jag börjar?

• Öppna Microsoft Defender-portalen på https://security.microsoft.com. Om du vill gå direkt till sidan Begränsade entiteter använder du https://security.microsoft.com/restrictedentities.

• Information om hur du använder Windows PowerShell för att ansluta till Exchange Online finns i artikeln om att ansluta till Exchange Online PowerShell.

• Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Du har följande alternativ:

  • Microsoft Defender XDR Enhetlig rollbaserad åtkomstkontroll (RBAC) (Om Email & samarbete>Defender för Office 365 behörigheter är Aktiva. Påverkar endast Defender-portalen, inte PowerShell): Auktorisering och inställningar/Säkerhetsinställningar/Identifieringsjustering (hantera) eller auktorisering och inställningar/Säkerhetsinställningar/Kärnsäkerhetsinställningar (läs).
  • Exchange Online behörigheter:
    • Ta bort anslutningsappar från sidan Begränsade entiteter: Medlemskap i rollgrupperna Organisationshantering eller Säkerhetsadministratör .
    • Skrivskyddad åtkomst till sidan Begränsade entiteter: Medlemskap i rollgrupperna Global läsare, Säkerhetsläsare eller Visa endast organisationshantering .
  • Microsoft Entra behörigheter: Medlemskap i rollerna Global administratör, Säkerhetsadministratör, Global läsare eller Säkerhetsläsare ger användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365.

• Innan du följer procedurerna i den här artikeln för att ta bort en anslutningsapp från sidan Begränsade entiteter måste du följa de steg som krävs för att återfå kontrollen över anslutningsappen enligt beskrivningen i Svara på en komprometterad anslutningsapp.

Ta bort en anslutningsapp från sidan Begränsade entiteter i Microsoft Defender-portalen

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till Email & samarbete>Granska>begränsade entiteter. Om du vill gå direkt till sidan Begränsade entiteter använder du https://security.microsoft.com/restrictedentities.

2. På sidan Begränsade entiteter identifierar du anslutningsappen som ska avblockeras. Entitetsvärdet är Connector.

   Välj en kolumnrubrik som ska sorteras efter den kolumnen.

   Om du vill ändra listan över entiteter från normalt till kompakt avstånd väljer du Ändra listavstånd till kompakt eller normal och väljer sedan Komprimera lista.

   Använd rutan Search och ett motsvarande värde för att hitta specifika anslutningsappar.

3. Välj den anslutningsapp som ska avblockeras genom att markera kryssrutan för entiteten och sedan välja åtgärden Avblockera som visas på sidan.

4. I den utfällbara menyn Avblockera entitet som öppnas läser du informationen om den begränsade anslutningsappen. Du bör gå igenom rekommendationerna för att se till att du vidtar rätt åtgärder om anslutningsappen komprometteras.

   När du är klar med utfällbara menyn Avblockera entitet väljer du Avblockera.

   Obs!

   Det kan ta upp till 1 timme innan alla begränsningar tas bort från anslutningsappen.

Kontrollera aviseringsinställningarna för begränsade anslutningsappar

Standardaviseringsprincipen med namnet Misstänkt anslutningsaktivitet meddelar automatiskt administratörer när anslutningsappar blockeras från att vidarebefordra e-post. Mer information om aviseringsprinciper finns i Aviseringsprinciper i Microsoft Defender-portalen.

Viktigt

För att aviseringar ska fungera måste granskningsloggning vara aktiverat (det är aktiverat som standard). Information om hur du kontrollerar att granskningsloggningen är aktiverad eller för att aktivera den finns i Aktivera eller inaktivera granskning.

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till Email & samarbetsprinciper>& regler>Aviseringsprincip. Om du vill gå direkt till sidan Aviseringsprincip använder du https://security.microsoft.com/alertpoliciesv2.

2. På sidan Aviseringsprincip letar du upp aviseringen med namnet Misstänkt anslutningsaktivitet. Du kan sortera aviseringarna efter namn eller använda rutan Search för att hitta aviseringen.

   Välj aviseringen Misstänkt aktivitet för anslutningsappen genom att klicka någon annanstans på raden än kryssrutan bredvid namnet.

3. I den utfällbara menyn Misstänkt anslutningsappsaktivitet som öppnas kontrollerar eller konfigurerar du följande inställningar:

   • Status: Kontrollera att aviseringen är aktiverad .

   • Expandera avsnittet Ange mottagare och kontrollera gränsvärdena Mottagare och Daglig avisering .

     Om du vill ändra värdena väljer du Redigera mottagarinställningar i avsnittet eller väljer Redigera princip överst i den utfällbara menyn.

     • På sidan Bestäm om du vill meddela personer när den här aviseringen utlöses i guiden som öppnas kontrollerar eller ändrar du följande inställningar:

       • Kontrollera att Anmäl dig för e-postaviseringar har valts.
       • Email mottagare: Standardvärdet är TenantAdmins (det vill säga globala administratörsmedlemmar). Om du vill lägga till fler mottagare klickar du i rutans tomma område. En lista över mottagare visas och du kan börja skriva ett namn för att filtrera och välja en mottagare. Ta bort en befintlig mottagare från rutan genom att välja bredvid deras namn.
       • Daglig meddelandegräns: Standardvärdet är Ingen gräns.

       När du är klar på sidan Bestäm om du vill meddela personer när den här aviseringen utlöses väljer du Nästa.

     • På sidan Granska dina inställningar väljer du Skicka och sedan Klar.

4. När du är tillbaka i den utfällbara menyn Misstänkt anslutningsaktivitet väljer du längst upp i den utfällbara menyn.

Använd Exchange Online PowerShell för att visa och ta bort anslutningsappar från sidan Begränsade entiteter

Om du vill visa listan över anslutningsappar som är begränsade från att skicka e-post kör du följande kommando i Exchange Online PowerShell:

Get-BlockedConnector

Om du vill visa information om en specifik blockerad anslutningsapp ersätter <du ConnectorID> med GUID-värdet för anslutningsappen och kör sedan följande kommando:

Get-BlockedConnector -ConnectorId <ConnectorID> | Format-List

Detaljerad information om syntax och parametrar finns i Get-BlockedConnector.

Om du vill ta bort en anslutningsapp från listan Över begränsade entiteter ersätter <du ConnectorID> med GUID-värdet för anslutningsappen och kör sedan följande kommando:

Remove-BlockedConnector -ConnectorId <ConnectorID>

Detaljerad information om syntax och parametrar finns i Remove-BlockedConnector.

Mer information

• Svara på en komprometterad kopplingar
• Ta bort blockerade användare