[制限付きエンティティ] ページからブロックされたコネクタを削除する

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。

Exchange Online メールボックスのないExchange Onlineまたはスタンドアロン Exchange Online Protection (EOP) 組織のメールボックスを持つ Microsoft 365 組織では、受信コネクタが侵害される可能性があると検出されると、いくつかのことが発生します。

  • コネクタは、電子メールの送信またはリレーを行わないようにします。

  • コネクタは、Microsoft Defender ポータルの [制限付きエンティティ] ページに追加されます。

    制限付きエンティティは、侵害の兆候のために電子メールの送信がブロックされるユーザー アカウントまたはコネクタです。通常は、メッセージの受信と送信の制限を超えていることが含まれます。

  • コネクタを使用して電子メールを送信する場合、エラー コード 550;5.7.711 と次のテキストを含む配信不能レポート (NDR またはバウンスメッセージとも呼ばれます) にメッセージが返されます。

メッセージを配信できませんでした。 最も一般的な理由は、organizationの電子メール コネクタがスパムまたはフィッシングの送信の疑いがあり、電子メールの送信が許可されなくなったためです。 詳細については、メール アドレスの管理者に問い合わせてください。 リモート サーバーから '550 が返されました。5.7.711 アクセスが拒否され、受信コネクタが正しくありません。 AS(2204).'

侵害されたコネクタとその制御を回復する方法の詳細については、「 侵害されたコネクタへの対応」を参照してください。

この記事の手順では、管理者が、Microsoft Defender ポータルまたは PowerShell の [制限付きエンティティ] ページからコネクタExchange Online削除する方法について説明します。

侵害された ユーザー アカウント と制限付きエンティティ ページから削除する方法の詳細については、「 制限付きエンティティ から ブロックされたユーザーを削除する」ページを参照してください。

はじめに把握しておくべき情報

  • https://security.microsoft.comでMicrosoft Defender ポータルを開きます。 [制限付きエンティティ] ページに直接移動するには、https://security.microsoft.com/restrictedentitiesを使用します。

  • Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。

  • この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。

    • Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションがEmail &場合>Defender for Office 365アクセス許可はアクティブです。PowerShell ではなく Defender ポータルにのみ影響します:承認と設定/セキュリティ設定/検出のチューニング (管理) または承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り)

    • Exchange Onlineアクセス許可:

      • [制限付きエンティティ] ページからコネクタを削除する: 組織の管理 または セキュリティ管理者 の役割グループのメンバーシップ。
      • [制限付きエンティティ] ページへの読み取り専用アクセス: グローバル閲覧者セキュリティ閲覧者、または 表示専用組織管理 役割グループのメンバーシップ。

    • Microsoft Entraアクセス許可: グローバル管理者*、セキュリティ管理者グローバル 閲覧者、またはセキュリティ 閲覧者ロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可アクセス許可をユーザーに付与します。

      重要

      * Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

  • この記事の手順に従って [制限付きエンティティ ] ページからコネクタを削除する前に、「 侵害されたコネクタに応答する」の説明に従って、コネクタの制御を回復するために必要な手順に従ってください。

Microsoft Defender ポータルの [制限付きエンティティ] ページからコネクタを削除する

  1. https://security.microsoft.comのMicrosoft Defender ポータルで、コラボレーション>Review>Restricted エンティティのEmail &に移動します。 または、[ 制限付きエンティティ ] ページに直接移動するには、 https://security.microsoft.com/restrictedentitiesを使用します。

  2. [ 制限付きエンティティ ] ページで、ブロックを解除するコネクタを特定します。 エンティティ値はコネクタです。

    列ヘッダーを選択して、その列で表示を並べ替えることができます。

    エンティティの一覧を標準間隔からコンパクト間隔に変更するには、[リストの間隔をコンパクトまたは標準に変更する] を選択し、[Compact list] を選択します。

    [ 検索 ] ボックスと対応する値を使用して、特定のコネクタを検索します。

  3. ブロックを解除するコネクタを選択するには、エンティティの [チェック] ボックスを選択し、ページに表示される [ブロック解除] アクションを選択します。

  4. 開いた [ブロック解除] エンティティ ポップアップで、制限付きコネクタの詳細を読み取ります。 コネクタが侵害された場合に備えて、適切なアクションを実行していることを確認するために、推奨事項に従う必要があります。

    [ブロック解除] エンティティポップアップが完了したら、[ブロック解除] を選択します。

    注:

    すべての制限がコネクタから削除されるまでに最大 1 時間かかる場合があります。

制限付きコネクタのアラート設定を確認する

不審なコネクタ アクティビティという名前の既定のアラート ポリシーは、コネクタが電子メールの中継をブロックされたときに管理者に自動的に通知します。 アラート ポリシーの詳細については、Microsoft Defender ポータルのアラート ポリシーに関するページを参照してください。

重要

アラートを機能させるには、監査ログを有効にする必要があります (既定ではオンになっています)。 監査ログが有効になっていることを確認するか、有効にするには、「 監査のオンとオフを切り替える」を参照してください。

  1. https://security.microsoft.comのMicrosoft Defender ポータルで、Email &コラボレーション>ポリシー & ルール>Alert ポリシーに移動します。 または、[ アラート ポリシー ] ページに直接移動するには、 https://security.microsoft.com/alertpoliciesv2を使用します。

  2. [ アラート ポリシー ] ページで、 不審なコネクタ アクティビティという名前のアラートを見つけます。 アラートを名前で並べ替えたり、[ 検索 ] ボックスを使用してアラートを検索したりできます。

    名前の横にある [チェック] ボックス以外の行内の任意の場所をクリックして、[疑わしいコネクタ アクティビティアラート] を選択します。

  3. 開いた [疑わしいコネクタ アクティビティ ] ポップアップで、次の設定を確認または構成します。

    • 状態: アラートが オンになっていることを確認します。

    • [ 受信者の設定] セクションを 展開し、[ 受信者 ] と [ 毎日の通知の制限 ] の値を確認します。

      値を変更するには、セクションで [ 受信者設定の編集] を選択するか、ポップアップの上部にある [ ポリシーの編集 ] を選択します。

      • 開いたウィザードの [ このアラートがトリガーされたときにユーザーに通知するかどうかを決定 する] ページで、次の設定を確認または変更します。

        • [電子メール通知のオプトイン] が選択されていることを確認します。
        • Email受信者: 既定値は TenantAdmins (グローバル管理者メンバー) です。 さらに受信者を追加するには、ボックスの空の領域をクリックします。 受信者の一覧が表示され、名前の入力を開始して、受信者をフィルター処理して選択できます。 名前の横にある [ ] を選択して、既存の受信者をボックスから削除します。
        • 毎日の通知の制限: 既定値は [制限なし] です。

        [ このアラートがトリガーされたときにユーザーに通知するかどうかを決定する ] ページが完了したら、[ 次へ] を選択します。

      • [ 設定の確認 ] ページで、[ 送信] を選択し、[完了] を選択 します

  4. [不審なコネクタ アクティビティ] ポップアップに戻り、ポップアップの上部にある [] を選択します。

PowerShell Exchange Online使用して、[制限付きエンティティ] ページでコネクタを表示および削除する

電子メールの送信が制限されているコネクタの一覧を表示するには、PowerShell Exchange Onlineで次のコマンドを実行します。

Get-BlockedConnector

特定のブロックされたコネクタの詳細を表示するには、 <ConnectorID> をコネクタの GUID 値に置き換えてから、次のコマンドを実行します。

Get-BlockedConnector -ConnectorId <ConnectorID> | Format-List

構文とパラメーターの詳細については、「 Get-BlockedConnector」を参照してください。

制限付きエンティティの一覧からコネクタを削除するには、 <ConnectorID> をコネクタの GUID 値に置き換えてから、次のコマンドを実行します。

Remove-BlockedConnector -ConnectorId <ConnectorID>

構文とパラメーターの詳細については、「 Remove-BlockedConnector」を参照してください。

詳細