排除電子郵件威脅防禦補救錯誤

簡介

本文檔介紹如何對Cisco Secure Email Threat Defense中的補救錯誤進行故障排除。

必要條件

需求

思科建議您瞭解以下主題：

• 思科安全電子郵件威脅防禦
• Microsoft O365套件（Exchange Online、Entra或Azure AD）

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 思科安全電子郵件威脅防禦
• Microsoft Exchange Online
• Microsoft Entra ID （以前稱為Azure AD）

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

郵件威脅防禦使用Microsoft Graph API與Microsoft 365通訊，實現了非常快速的檢測和補救，例如移至垃圾桶、移至垃圾郵件、移至隔離區。

問題

在某些情況下，安全郵件威脅防禦補救無法移動或隔離來自不同原因的終端使用者郵箱的郵件。

解決方案

補救會在不同的條件下失敗，如前所述。

案例1：找不到資源

電子郵件威脅防禦補救失敗，顯示「找不到資源」。

找不到錯誤資源

原因

1. 郵箱所有者將電子郵件刪除或移動到其他資料夾。

2. 在Microsoft O365管理中心上建立了帳戶，但尚未為其分配許可證，也未設定郵箱。

驗證Microsoft O365管理中心上使用者的訂閱狀態。為受影響的使用者分配正確的Exchange Online許可證以自動建立郵箱。

案例2：修正失敗-未知原因

電子郵件威脅防禦補救失敗，並顯示「補救失敗-未知原因」。

錯誤修正失敗-未知原因

原因

已註冊安全郵件威脅防禦應用程式的Microsoft Entra ID上的許可權不正確或丟失。

1. 至少以雲應用管理員身份登入到Microsoft 365管理中心。在左側選單中，展開Admin Centers，然後按一下Identity。

2. 導航到身份>應用>企業應用，然後點選已註冊的安全郵件威脅防禦應用。導航到許可權。

3. 驗證應用程式是否具有型別為Application的正確Microsoft Graph API許可權。

• Mail.ReadWrite
• 組織。讀取。全部

如果缺少任何許可權，請按一下Grant Admin Consent for <Tenant-ID>。 使用雲管理員帳戶登入並點選接受。

案例3：要求的使用者無效

郵件威脅防禦補救失敗，顯示「請求的使用者無效」。

請求使用者時出錯

原因

1. 郵箱或使用者帳戶無效或Microsoft O365組織目錄中不存在。

2. 安全郵件威脅防禦與多個租戶或域整合。但是，在Entra ID (Azure AD)上註冊的應用程式可以訪問單個租戶。

驗證使用者帳戶或郵箱是否有效並且存在於Microsoft O365上。

在多租戶環境中，確保註冊的安全郵件威脅防禦應用程式有權訪問任何組織目錄中的帳戶。

場景4：郵箱處於非活動狀態、軟刪除或託管在本地狀態

電子郵件威脅防禦補救失敗，顯示「郵箱處於非活動狀態、軟刪除或託管在本地部署」。

錯誤郵箱處於非活動狀態或軟刪除

原因

1. 已在Microsoft Entra Identity （以前稱為Azure AD）上設定帳戶，但缺少分配的有效M365或Exchange Online許可證。

2. 使用Microsoft O365和內部部署Exchange的混合設定，使用者帳戶僅存在於Microsoft內部部署伺服器上。

驗證Microsoft O365管理中心上使用者的訂閱狀態。為受影響的使用者分配正確的Exchange Online許可證以自動建立郵箱。

相關資訊

• 思科安全郵件威脅防禦使用手冊
• 思科技術支援與下載