Rimuovere gli utenti bloccati dalla pagina Entità con restrizioni

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

Nelle organizzazioni di Microsoft 365 con cassette postali in organizzazioni Exchange Online o Exchange Online Protection autonome (EOP) senza cassette postali Exchange Online, si verificano diverse cose se un utente supera i limiti di invio in uscita del servizio o i limiti nei criteri di posta indesiderata in uscita:

  • L'utente non può inviare messaggi di posta elettronica, ma può comunque ricevere messaggi di posta elettronica.

  • L'utente viene aggiunto alla pagina Entità con restrizioni nel portale di Microsoft Defender.

    Un'entità con restrizioni è un account utente o un connettore a cui è impedito l'invio di messaggi di posta elettronica a causa di indicazioni di compromissione, che in genere include il superamento dei limiti di ricezione e invio dei messaggi.

  • Se l'utente tenta di inviare un messaggio di posta elettronica, il messaggio viene restituito in un report di mancato recapito (noto anche come NDR o messaggio di mancato recapito) con il codice di errore 5.1.8 e il testo seguente:

"Non è stato possibile recapitare il messaggio perché l'utente non è stato riconosciuto come mittente valido. La causa più comune di questo problema è che l'indirizzo di posta elettronica sia sospettato di inviare posta indesiderata e che non sia più autorizzato a inviare messaggi di posta elettronica. Contattare l'amministratore della posta elettronica per ricevere assistenza. Il server remoto ha restituito l'errore "550 5.1.8 Access denied, bad outbound sender."

Per altre informazioni sugli account utente compromessi e su come recuperarne il controllo, vedere Risposta a un account di posta elettronica compromesso.

Le procedure descritte in questo articolo illustrano come gli amministratori possono rimuovere gli account utente dalla pagina Entità con restrizioni nel portale di Microsoft Defender o in Exchange Online PowerShell.

Per altre informazioni sui connettori compromessi e su come rimuoverli dalla pagina Entità con restrizioni , vedere Rimuovere connettori bloccati dalla pagina Entità con restrizioni.

Che cosa è necessario sapere prima di iniziare?

  • Aprire il portale di Microsoft Defender all'indirizzo https://security.microsoft.com. Per passare direttamente alla pagina Utenti con restrizioni, usare https://security.microsoft.com/restrictedusers.

  • Per informazioni su come connettersi a PowerShell per Exchange Online, vedere Connettersi a PowerShell per Exchange Online.

  • Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:

    • Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato (Se Email & collaborazione>Defender per Office 365 autorizzazioni è Attivo. Influisce solo sul portale di Defender e non su PowerShell: autorizzazioni e impostazioni/Impostazioni di sicurezza/Impostazioni di sicurezza di base (gestione) o Autorizzazioni e impostazioni/Impostazioni di sicurezza/Impostazioni di sicurezza di base (lettura).

    • Exchange Online autorizzazioni:

      • Rimuovere gli account utente dalla pagina Entità con restrizioni: appartenenza ai gruppi di ruoli Gestione organizzazione o Amministratore della sicurezza .
      • Accesso di sola lettura alla pagina Entità con restrizioni: appartenenza ai gruppi di ruoli Lettore globale, Lettore di sicurezza o Gestione dell'organizzazione di sola visualizzazione .
    • Microsoft Entra autorizzazioni: l'appartenenza ai ruoli Amministratore* globale, Amministratore della sicurezza, Lettore globale o Lettore di sicurezza offre agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365.

      Importante

      * Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

  • Un mittente che supera i limiti di posta elettronica in uscita è un indicatore di account compromesso. Prima di seguire le procedure descritte in questo articolo per rimuovere un utente dalla pagina Entità con restrizioni, assicurarsi di seguire i passaggi necessari per riprendere il controllo dell'account come descritto in Risposta a un account di posta elettronica compromesso in Office 365.

Rimuovere un utente dalla pagina Entità con restrizioni nel portale di Microsoft Defender

  1. Nel portale di Microsoft Defender in https://security.microsoft.compassare a Email &collaboration ReviewRestricted entities (Verifica della collaborazione> con >restrizioni). In alternativa, per passare direttamente alla pagina Entità con restrizioni , usare https://security.microsoft.com/restrictedentities.

  2. Nella pagina Entità con restrizioni identificare l'account utente da sbloccare. Il valore entity è Mailbox.

    Selezionare un'intestazione di colonna da ordinare in base a tale colonna.

    Per modificare l'elenco delle entità da spaziatura normale a spaziatura compatta, selezionare Modifica spaziatura elenco in compatta o normale e quindi selezionare Elenco compatto.

    Usare la casella di ricerca e un valore corrispondente per trovare utenti specifici.

  3. Selezionare l'utente da sbloccare selezionando la casella di controllo per l'entità e quindi selezionando l'azione Sblocca visualizzata nella pagina.

  4. Nel riquadro a comparsa Sblocca utente visualizzato leggere i dettagli sull'account con restrizioni nella pagina Panoramica . Verificare di aver esaminato i suggerimenti nella sezione Raccomandazioni per verificare che l'account non sia compromesso o per riprendere il controllo dell'account.

    Al termine della pagina Panoramica , selezionare Avanti.

  5. Nella pagina Sblocca utente prendere in considerazione le raccomandazioni e usare i collegamenti nelle sezioni Autenticazione a più fattori e Modifica password per abilitare mfa e reimpostare la password dell'utente se non sono già stati eseguiti questi passaggi. L'abilitazione dell'autenticazione a più fattori e la reimpostazione della password rappresentano una buona difesa contro la futura compromissione dell'account.

    Al termine della pagina Sblocca utente, selezionare Invia.

  6. Selezionare nella finestra di dialogo di avviso visualizzata.

    Nota

    Nella maggior parte dei casi, tutte le restrizioni devono essere rimosse dall'utente entro un'ora. I problemi tecnici temporanei possono causare un tempo di attesa più lungo, ma l'attesa totale non deve superare le 24 ore.

Verificare le impostazioni di avviso per gli utenti con restrizioni

Il criterio di avviso predefinito denominato User restricted from sending email automatically notifies admins when users are blocked from sending email ( L'utente ha impedito l'invio di messaggi di posta elettronica ) notifica automaticamente agli amministratori quando agli utenti viene impedito di inviare messaggi di posta elettronica. Per altre informazioni sui criteri di avviso, vedere Criteri di avviso nel portale di Microsoft Defender.

Importante

Per il funzionamento degli avvisi, la registrazione di controllo deve essere attivata (è attivata per impostazione predefinita). Per verificare che la registrazione di controllo sia attivata o per attivarla, vedere Attivare o disattivare il controllo.

  1. Nel portale di Microsoft Defender in https://security.microsoft.compassare a Email & Criteri di collaborazione>& regole>Criteri di avviso. In alternativa, per passare direttamente alla pagina Criteri di avviso , usare https://security.microsoft.com/alertpoliciesv2.

  2. Nella pagina Criteri di avviso individuare l'avviso denominato Utente a cui è stato impedito l'invio di messaggi di posta elettronica. È possibile ordinare gli avvisi in base al nome o usare la casella di ricerca per trovare l'avviso.

    Selezionare l'opzione Utente con restrizioni per l'invio di un avviso di posta elettronica facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al nome.

  3. Nel riquadro a comparsa User restricted from sending email che si apre, verificare o configurare le impostazioni seguenti:

    • Stato: verificare che l'avviso sia attivato .

    • Espandere la sezione Impostare i destinatari e verificare i valori limite per destinatari e notifiche giornaliere .

      Per modificare i valori, selezionare Modifica impostazioni destinatario nella sezione o selezionare Modifica criterio nella parte superiore del riquadro a comparsa.

      • Nella pagina Decidere se si desidera notificare agli utenti quando viene attivato questo avviso della procedura guidata che si apre, verificare o modificare le impostazioni seguenti:

        • Verificare che l'opzione Acconsenti esplicitamente per le notifiche tramite posta elettronica sia selezionata.
        • Email destinatari: il valore predefinito è TenantAdmins group (membri amministratore globale). Per aggiungere altri destinatari, fare clic nell'area vuota della casella. Viene visualizzato un elenco di destinatari ed è possibile iniziare a digitare un nome per filtrare e selezionare un destinatario. Rimuovere un destinatario esistente dalla casella selezionando accanto al relativo nome.
        • Limite di notifica giornaliero: il valore predefinito è Nessun limite.

        Al termine della pagina Decidere se si vuole inviare una notifica agli utenti quando viene attivato questo avviso , selezionare Avanti.

      • Nella pagina Rivedi le impostazioni selezionare Invia e quindi Fare clic su Fine.

  4. Tornare al riquadro a comparsa Utente a cui è stato impedito di inviare messaggi di posta elettronica , selezionare nella parte superiore del riquadro a comparsa.

Usare Exchange Online PowerShell per visualizzare e rimuovere utenti dalla pagina Entità con restrizioni

Per visualizzare questo elenco di utenti a cui è impedito l'invio di posta elettronica, eseguire il comando seguente in Exchange Online PowerShell:

Get-BlockedSenderAddress

Per visualizzare i dettagli di un utente specifico, sostituire <emailaddress> con l'indirizzo di posta elettronica corrispondente ed eseguire il comando seguente:

Get-BlockedSenderAddress -SenderAddress <emailaddress> | Format-List

Per informazioni dettagliate su sintassi e parametri, vedere Get-BlockedSenderAddress.

Per rimuovere un utente dall'elenco Utenti con restrizioni, sostituire <emailaddress> con il relativo indirizzo di posta elettronica ed eseguire il comando seguente:

Remove-BlockedSenderAddress -SenderAddress <emailaddress>

Per informazioni dettagliate su sintassi e parametri, vedere Remove-BlockedSenderAddress.

Ulteriori informazioni