对邮件威胁防御补救错误进行故障排除
简介
本文档介绍如何对思科安全邮件威胁防御的补救错误进行故障排除。
先决条件
要求
Cisco 建议您了解以下主题:
- 思科安全邮件威胁防御
- Microsoft O365套件(Exchange Online、Entra或Azure AD)
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 思科安全邮件威胁防御
- Microsoft Exchange Online
- Microsoft Entra ID(以前称为Azure AD)
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
邮件威胁防御使用Microsoft Graph API与Microsoft 365进行通信,从而实现非常快速的检测和补救,例如移至垃圾箱、移至垃圾邮件、移至隔离区。
问题
在某些情况下,安全邮件威胁防御补救无法移动或隔离来自最终用户邮箱的邮件,原因各不相同。
解决方案
如前所述,在不同的条件下,补救会失败。
方案1:找不到资源
邮件威胁防御补救失败,显示“Resource is Not Found”(未找到资源)。
找不到错误资源
原因
1. 邮箱所有者删除电子邮件或将其移动到其他文件夹。
2. 已在Microsoft O365管理中心创建帐户,但尚未为其分配许可证,也未设置邮箱。
验证Microsoft O365管理中心上用户的订阅状态。分配正确的Exchange Online许可证以自动为受影响的用户创建邮箱。
场景2:补救失败-未知原因
邮件威胁防御补救失败,并显示“补救失败-未知原因”。
错误修正失败-未知原因
原因
已注册安全邮件威胁防御应用的Microsoft Entra ID上的权限不正确或缺失。
1. 至少以云应用管理员身份登录到Microsoft 365管理中心。在左侧菜单中,展开Admin Centers,然后单击Identity。
2. 导航到身份>应用>企业应用,然后单击注册的安全邮件威胁防御应用。导航到权限。
3. 验证应用程序是否具有类型为Application的正确Microsoft Graph API权限。
- 邮件。读写
- Organization.Read.All
如果缺少任何权限,请单击Grant Admin Consent for <Tenant-ID>。 使用云管理员帐户登录并单击Accept。
场景3:请求的用户无效
邮件威胁防御补救失败,显示“请求的用户无效”。
请求的错误用户无效
原因
1. 邮箱或用户帐户无效或Microsoft O365组织目录中不存在。
2. 安全邮件威胁防御与多个租户或域集成。但是,Entra ID (Azure AD)上的注册应用程序有权访问单个租户。
验证用户帐户或邮箱是否有效并在Microsoft O365上存在。
在多租户环境中,请确保注册的安全邮件威胁防御应用有权访问任何组织目录中的帐户。
场景4:邮箱处于非活动状态、软删除或内部托管
邮件威胁防御补救失败,显示“邮箱处于非活动状态、软删除或托管在内部部署”。
错误邮箱处于非活动状态或软删除
原因
1. 已在Microsoft Entra Identity(以前称为Azure AD)上设置帐户,但缺少分配的有效M365或Exchange Online许可证。
2. 使用Microsoft O365和本地Exchange的混合设置,用户帐户仅存在于Microsoft本地服务器上。
验证Microsoft O365管理中心上用户的订阅状态。分配正确的Exchange Online许可证以自动为受影响的用户创建邮箱。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
25-Jul-2024 |
初始版本 |
反馈