Rimuovere i connettori bloccati dalla pagina Entità con restrizioni
Consiglio
Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.
Nelle organizzazioni di Microsoft 365 con cassette postali in organizzazioni Exchange Online o Exchange Online Protection autonome (EOP) senza cassette postali Exchange Online, si verificano diversi problemi se viene rilevato un connettore in ingresso come potenzialmente compromesso:
Al connettore non è consentito inviare o inoltrare messaggi di posta elettronica.
Il connettore viene aggiunto alla pagina Entità con restrizioni nel portale di Microsoft Defender.
Un'entità con restrizioni è un account utente o un connettore a cui è impedito l'invio di messaggi di posta elettronica a causa di indicazioni di compromissione, che in genere include il superamento dei limiti di ricezione e invio dei messaggi.
Se il connettore viene usato per inviare messaggi di posta elettronica, il messaggio viene restituito in un report di mancato recapito (noto anche come rapporto di mancato recapito o messaggio di mancato recapito) con il codice
550;5.7.711
di errore e il testo seguente:
Il messaggio non è stato recapitato. Il motivo più comune è che il connettore di posta elettronica dell'organizzazione è sospettato di inviare posta indesiderata o phishing e non è più consentito inviare posta elettronica. Contattare l'amministratore della posta elettronica per ricevere assistenza. Server remoto ha restituito '550; 5.7.711 Accesso negato, connettore in ingresso non valido. AS(2204).'
Per altre informazioni sui connettori compromessi e su come recuperarne il controllo, vedere Rispondere a un connettore compromesso.
Le procedure descritte in questo articolo illustrano come gli amministratori possono rimuovere i connettori dalla pagina Entità con restrizioni nel portale di Microsoft Defender o in Exchange Online PowerShell.
Per altre informazioni sugli account utente compromessi e su come rimuoverli dalla pagina Entità con restrizioni , vedere Rimuovere gli utenti bloccati dalla pagina Entità con restrizioni.
Che cosa è necessario sapere prima di iniziare?
Aprire il portale di Microsoft Defender all'indirizzo https://security.microsoft.com. Per passare direttamente alla pagina Entità con restrizioni , usare https://security.microsoft.com/restrictedentities.
Per informazioni su come connettersi a PowerShell per Exchange Online, vedere Connettersi a PowerShell per Exchange Online.
Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:
Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato (Se Email & collaborazione>Defender per Office 365 autorizzazioni è Attivo. Influisce solo sul portale di Defender e non su PowerShell: autorizzazioni e impostazioni/Impostazioni di sicurezza/Ottimizzazione del rilevamento (gestione) o Autorizzazione e impostazioni/Impostazioni di sicurezza/Impostazioni di sicurezza di base (lettura).
Exchange Online autorizzazioni:
- Rimuovere i connettori dalla pagina Entità con restrizioni: appartenenza ai gruppi di ruoli Gestione organizzazione o Amministratore della sicurezza .
- Accesso di sola lettura alla pagina Entità con restrizioni: appartenenza ai gruppi di ruoli Lettore globale, Lettore di sicurezza o Gestione dell'organizzazione di sola visualizzazione .
Microsoft Entra autorizzazioni: l'appartenenza ai ruoli Amministratore* globale, Amministratore della sicurezza, Lettore globale o Lettore di sicurezza offre agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365.
Importante
* Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Prima di seguire le procedure descritte in questo articolo per rimuovere un connettore dalla pagina Entità con restrizioni , assicurarsi di seguire i passaggi necessari per riprendere il controllo del connettore come descritto in Rispondere a un connettore compromesso.
Rimuovere un connettore dalla pagina Entità con restrizioni nel portale di Microsoft Defender
Nel portale di Microsoft Defender in https://security.microsoft.compassare a Email &collaboration ReviewRestricted entities (Verifica della collaborazione> con >restrizioni). In alternativa, per passare direttamente alla pagina Entità con restrizioni , usare https://security.microsoft.com/restrictedentities.
Nella pagina Entità con restrizioni identificare il connettore da sbloccare. Il valore entity è Connector.
Selezionare un'intestazione di colonna da ordinare in base a tale colonna.
Per modificare l'elenco delle entità da spaziatura normale a spaziatura compatta, selezionare Modifica spaziatura elenco in compatta o normale e quindi selezionare Elenco compatto.
Usare la casella di ricerca e un valore corrispondente per trovare connettori specifici.
Selezionare il connettore da sbloccare selezionando la casella di controllo per l'entità e quindi selezionando l'azione Sblocca visualizzata nella pagina.
Nel riquadro a comparsa Sblocca entità visualizzato leggere i dettagli sul connettore con restrizioni. È consigliabile esaminare le raccomandazioni per assicurarsi di eseguire le azioni appropriate in caso di compromissione del connettore.
Al termine del riquadro a comparsa Sblocca entità , selezionare Sblocca.
Nota
La rimozione di tutte le restrizioni dal connettore potrebbe richiedere fino a 1 ora.
Verificare le impostazioni di avviso per i connettori con restrizioni
Il criterio di avviso predefinito denominato Attività connettore sospetto notifica automaticamente agli amministratori quando ai connettori viene impedito di inoltrare la posta elettronica. Per altre informazioni sui criteri di avviso, vedere Criteri di avviso nel portale di Microsoft Defender.
Importante
Per il funzionamento degli avvisi, la registrazione di controllo deve essere attivata (è attivata per impostazione predefinita). Per verificare che la registrazione di controllo sia attivata o per attivarla, vedere Attivare o disattivare il controllo.
Nel portale di Microsoft Defender in https://security.microsoft.compassare a Email & Criteri di collaborazione>& regole>Criteri di avviso. In alternativa, per passare direttamente alla pagina Criteri di avviso , usare https://security.microsoft.com/alertpoliciesv2.
Nella pagina Criteri di avviso individuare l'avviso denominato Attività connettore sospetto. È possibile ordinare gli avvisi in base al nome o usare la casella di ricerca per trovare l'avviso.
Selezionare l'avviso attività connettore sospetto facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al nome.
Nel riquadro a comparsa Attività del connettore sospetto visualizzato verificare o configurare le impostazioni seguenti:
Stato: verificare che l'avviso sia attivato .
Espandere la sezione Impostare i destinatari e verificare i valori limite per destinatari e notifiche giornaliere .
Per modificare i valori, selezionare Modifica impostazioni destinatario nella sezione o selezionare Modifica criterio nella parte superiore del riquadro a comparsa.
Nella pagina Decidere se si desidera notificare agli utenti quando viene attivato questo avviso della procedura guidata che si apre, verificare o modificare le impostazioni seguenti:
- Verificare che l'opzione Acconsenti esplicitamente per le notifiche tramite posta elettronica sia selezionata.
- Email destinatari: il valore predefinito è TenantAdmins (membri amministratore globale). Per aggiungere altri destinatari, fare clic nell'area vuota della casella. Viene visualizzato un elenco di destinatari ed è possibile iniziare a digitare un nome per filtrare e selezionare un destinatario. Rimuovere un destinatario esistente dalla casella selezionando accanto al relativo nome.
- Limite di notifica giornaliero: il valore predefinito è Nessun limite.
Al termine della pagina Decidere se si vuole inviare una notifica agli utenti quando viene attivato questo avviso , selezionare Avanti.
Nella pagina Rivedi le impostazioni selezionare Invia e quindi Fare clic su Fine.
Tornare al riquadro a comparsa Attività del connettore sospetto , selezionare nella parte superiore del riquadro a comparsa.
Usare Exchange Online PowerShell per visualizzare e rimuovere i connettori dalla pagina Entità con restrizioni
Per visualizzare l'elenco dei connettori a cui è impedito l'invio di posta elettronica, eseguire il comando seguente in Exchange Online PowerShell:
Get-BlockedConnector
Per visualizzare i dettagli su un connettore bloccato specifico, sostituire <ConnectorID> con il valore GUID del connettore e quindi eseguire il comando seguente:
Get-BlockedConnector -ConnectorId <ConnectorID> | Format-List
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-BlockedConnector.
Per rimuovere un connettore dall'elenco Entità con restrizioni, sostituire <ConnectorID> con il valore GUID del connettore e quindi eseguire il comando seguente:
Remove-BlockedConnector -ConnectorId <ConnectorID>
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Remove-BlockedConnector.