从“受限实体”页中删除被阻止的用户

• 适用于:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗？ 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。

在邮箱位于 Exchange Online 或独立 Exchange Online Protection (EOP 的 Microsoft 365 组织中，) 组织中没有Exchange Online邮箱，如果用户超出服务的出站发送限制或出站垃圾邮件策略中的限制，则会发生以下几种情况：

• 用户被限制发送电子邮件，但他们仍然可以接收电子邮件。

• 用户将添加到Microsoft Defender门户中的“受限实体”页。

  受限实体是用户帐户或连接器，由于存在泄露迹象而被阻止发送电子邮件，这通常包括超过邮件接收和发送限制。

• 如果用户尝试发送电子邮件，则会在未送达的报告中返回邮件 (也称为 NDR 或退回邮件) ，错误代码 为 5.1.8 和以下文本：

“你的邮件无法送达，因为系统认为你不是有效的发件人。 这种情形最常见的原因是怀疑你的电子邮件地址正在发送垃圾邮件，且不再允许它发送电子邮件。 请联系电子邮件管理员获取帮助。 远程服务器返回“550 5.1.8 拒绝访问，错误出站发件人”。

有关已泄露的用户帐户以及如何重新获得其控制权的详细信息，请参阅 响应已泄露的电子邮件帐户。

本文中的过程介绍了管理员如何从Microsoft Defender门户或 PowerShell Exchange Online“受限实体”页中删除用户帐户。

有关受攻击 的连接器 以及如何从 “受限实体 ”页中删除它们的详细信息，请参阅 从“受限实体”页中删除阻止的连接器。

开始前，有必要了解什么？

• 在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到 受限用户 页，请使用 https://security.microsoft.com/restrictedusers。

• 若要连接到 Exchange Online PowerShell，请参阅连接到 Exchange Online PowerShell。

• 需要先分配权限，然后才能执行本文中的过程。 可以选择下列选项：

  • Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (仅影响 Defender 门户，而不会影响 PowerShell) ：授权和设置/安全设置/核心安全设置 (管理) 或授权和设置/安全设置/核心安全性设置 (读取) 。
  • Exchange Online权限：
    • 从“受限实体”页中删除用户帐户： “组织管理 ”或 “安全管理员” 角色组中的成员身份。
    • 对“受限实体”页的只读访问权限： “全局读取者”、“ 安全读取者”或 “仅查看组织管理 ”角色组中的成员身份。
  • Microsoft Entra权限：全局管理员、安全管理员、全局读取者或安全读取者角色的成员身份为用户提供 Microsoft 365 中其他功能的所需权限和权限。

• 发件人超过出站电子邮件限制是帐户遭到入侵的标志。 在按照本文中的过程从“受限制的实体”页中删除用户之前，请务必按照在 Office 365 中响应已泄露的电子邮件帐户中所述的步骤重新获得对帐户的控制。

从Microsoft Defender门户中的“受限实体”页中删除用户

在 Microsoft Defender 门户中https://security.microsoft.com，转到Email &协作>查看>受限实体。 或者，若要直接转到 “受限实体 ”页，请使用 https://security.microsoft.com/restrictedentities。

2. 在 “受限实体 ”页上，标识要取消阻止的用户帐户。 Entity 值为 Mailbox。

   选择列标题以按该列排序。

   若要将实体列表从普通间距更改为精简间距，请选择“ 将列表间距更改为精简或正常”，然后选择“ 压缩列表”。

   使用“搜索”框和相应的值查找特定用户。

3. 选择要取消阻止的用户，方法是选择实体的“检查”框，然后选择页面上显示的“取消阻止”操作。

4. 在打开的 “取消阻止用户 ”浮出控件中，在 “概述 ”页上阅读有关受限帐户的详细信息。 验证是否已完成 “建议 ”部分中的建议，以确认帐户未泄露或重新获得对帐户的控制。

   完成“ 概述 ”页后，选择“ 下一步”。

5. 在 “取消阻止用户”页上，考虑建议，并使用 “多重身份验证 ”和 “更改密码 ”部分中的链接 来启用 MFA 和 重置用户的密码 （如果尚未执行这些步骤）。 启用 MFA 和重置密码是防止将来帐户泄露的良好防御措施。

   在“ 取消阻止用户”页上完成操作后，选择“ 提交”。

6. 在打开的警告对话框中选择 “是 ”。

   注意

   在大多数情况下，应在一小时内从用户中删除所有限制。 暂时性技术问题可能会导致等待时间延长，但总等待时间不应超过 24 小时。

验证用于受限的用户的警报设置

在阻止用户发送电子邮件时，名为 “用户无法发送电子邮件 ”的默认警报策略会自动通知管理员。 有关警报策略的详细信息，请参阅 Microsoft Defender 门户中的警报策略。

重要

若要使警报正常工作，审核日志记录必须处于打开状态， (默认) 启用。 若要验证审核日志记录是否已打开或打开，请参阅 打开或关闭审核。

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到Email &协作>策略 & 规则>警报策略。 或者，若要直接转到 “警报策略 ”页，请使用 https://security.microsoft.com/alertpoliciesv2。

2. 在 “警报策略 ”页上，找到名为 “用户限制无法发送电子邮件”的警报。 可以按名称对警报进行排序，或使用“搜索”框查找警报。

   单击行中除名称旁边的“检查”框以外的任意位置，选择“用户已限制发送电子邮件警报”。

3. 在“ 用户限制发送 电子邮件”浮出控件中打开、验证或配置以下设置：

   • 状态：验证警报是否已 打开。

   • 展开 “设置收件人”部分 ，并验证“ 收件人 ”和 “每日通知”限制 值。

     若要更改值，请在部分选择“ 编辑收件人设置 ”或选择浮出控件顶部的“ 编辑策略 ”。

     • 在打开的向导的“ 决定是否要在触发此警报时通知用户 ”页上，验证或更改以下设置：

       • 验证是否选择了“选择加入电子邮件通知”。
       • Email收件人：默认值为 TenantAdmins (意思是全局管理员成员) 。 若要添加更多收件人，请单击框的空白区域。 此时会显示收件人列表，你可以开始键入姓名以筛选和选择收件人。 通过选择现有收件人的姓名，从框中删除 现有收件人。
       • 每日通知限制：默认值为 “无限制”。

       完成“ 确定是否要在触发此警报时通知人员 ”页后，选择“ 下一步”。

     • 在“ 查看设置” 页上，选择“ 提交”，然后选择“ 完成”。

4. 返回 *用户限制发送电子邮件 浮出控件，选择 浮出控件顶部。

使用 Exchange Online PowerShell 查看和删除“受限实体”页中的用户

若要查看此受限制无法发送电子邮件的用户列表，请在 PowerShell Exchange Online 运行以下命令：

Get-BlockedSenderAddress

若要查看特定用户的详细信息，请将 <emailaddress> 替换为相应用户的电子邮件地址，并运行以下命令：

Get-BlockedSenderAddress -SenderAddress <emailaddress> | Format-List

若要详细了解语法和参数，请参阅 Get-BlockedSenderAddress。

若要从受限用户列表中删除用户，请将 emailaddress> 替换为<其电子邮件地址，并运行以下命令：

Remove-BlockedSenderAddress -SenderAddress <emailaddress>

若要详细了解语法和参数，请参阅 Remove-BlockedSenderAddress。

更多信息

• 响应遭到入侵的电子邮件帐户
• 从“受限实体”页中删除阻止的连接器