Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft 365 — это набор для повышения производительности, который предоставляет средства для облачного хранения файлов, совместной работы, бизнес-аналитики (BI) и управления отношениями с клиентами (CRM). Microsoft 365 помогает пользователям обмениваться документами в организации и внешними партнерами в упрощенном и эффективном режиме. Использование Microsoft 365 может предоставлять конфиденциальные данные не только внутренним, но и внешним участникам совместной работы, или, что еще хуже, сделать их общедоступными через общую ссылку. Такие инциденты могут возникать из-за злонамеренного субъекта или незнающего сотрудника. Microsoft 365 также предоставляет большую стороннюю экосистему приложений для повышения производительности. Использование этих приложений может привести к риску вредоносных приложений или использования приложений с чрезмерными разрешениями.
Подключение Microsoft 365 к Defender for Cloud Apps позволяет получить более подробные сведения о действиях пользователей. Defender for Cloud Apps помогает обнаруживать угрозы с помощью обнаружения аномалий на основе машинного обучения и обнаружения защиты информации, таких как обнаружение общего доступа к внешней информации. Defender for Cloud Apps также применяет средства автоматического исправления и обнаруживает угрозы со стороны включенных сторонних приложений в вашей организации.
Defender for Cloud Apps интегрируется непосредственно с журналами аудита Microsoft 365 и обеспечивает защиту для всех поддерживаемых служб. Список поддерживаемых служб см. в статье Службы Microsoft 365, поддерживающие аудит.
Используйте этот соединитель приложений для доступа к функциям Управления состоянием безопасности SaaS (SSPM) с помощью элементов управления безопасностью, отраженных в оценке безопасности Майкрософт. Подробнее.
Обновления для проверки файлов для Microsoft 365
Чтобы повысить эффективность и точность сканирования файлов в средах Microsoft 365, Defender for Cloud Apps обновлен процесс сканирования файлов для Microsoft 365. Если вы не активируете политики защиты информации, Defender for Cloud Apps не сканирует и не хранит организационные файлы.
При активном использовании политик защиты информации корпоративные файлы могут иметь значительную продолжительность сканирования из-за большого объема действий по проверке файлов.
Defender for Cloud Apps добавлены новые улучшения проверки файлов для SharePoint и OneDrive:
Более высокая скорость сканирования файлов в SharePoint и OneDrive практически в реальном времени.
Улучшенная идентификация для уровня доступа к файлу в SharePoint: уровень доступа к файлам в SharePoint по умолчанию помечается как внутренний, а не как частный (так как каждый файл в SharePoint доступен владельцу сайта, а не только владельцу файла).
Примечание.
Изменение уровня доступа к файлам по умолчанию SharePoint с private на internal может повлиять на политики файлов (если политика файлов ищет внутренние или частные файлы в SharePoint).
Основные угрозы
Основными угрозами, которые следует учитывать в Microsoft 365 средах, являются следующие:
- Скомпрометированные учетные записи и внутренние угрозы
- Утечка данных
- Недостаточная осведомленность о безопасности
- Вредоносные сторонние приложения
- Вредоносная программа
- Фишинг
- Программа-вымогатель
- Неуправляемый перенос собственного устройства (BYOD)
Как Defender for Cloud Apps помогает защитить среду
Defender for Cloud Apps помогает защитить среду следующим образом:
- Обнаруживайте облачные угрозы, скомпрометированные учетные записи и злоумышленников из числа сотрудников
- Обнаружение, классификация, применение меток и защита регламентированных и конфиденциальных данных, хранящихся в облаке
- Обнаружение приложений OAuth, имеющих доступ к вашей среде, и управление ими
- Применение политики защиты от потери данных и политики соответствия требованиям для данных, хранящихся в облаке
- Ограничение раскрытия общих данных и обеспечение соблюдения политик совместной работы
- Использование журнала аудита действий для криминалистических исследований
Управление Microsoft 365 с помощью встроенных политик и шаблонов политик
Вы можете использовать следующие встроенные шаблоны политик для обнаружения потенциальных угроз и уведомления о ней:
Important
Политики файлов удаляются 6 января 2027 г. Чтобы обеспечить защиту данных на основе файлов для этого приложения, перейдите на политики DLP Microsoft Purview или политики автоматической маркировки.
Дополнительные сведения о создании политик см. в статье "Создание политики Defender for Cloud Apps".
Автоматизация элементов управления
Помимо мониторинга потенциальных угроз, вы можете применить и автоматизировать следующие действия по управлению Microsoft 365 для устранения обнаруженных угроз:
| Тип | Действие |
|---|---|
| Управление данными |
Onedrive:
|
| Управление пользователями |
|
| Управление приложениями OAuth |
|
Дополнительные сведения об устранении угроз из подключенных приложений см. в разделе "Управление подключенными приложениями".
Защита Microsoft 365 в режиме реального времени
Ознакомьтесь с нашими рекомендациями по защите и совместной работе с внешними пользователями , а также блокировке и защите загрузки конфиденциальных данных на неуправляемые или рискованные устройства.
интеграция Defender for Cloud Apps с Microsoft 365
Defender for Cloud Apps поддерживает устаревшую выделенную платформу Microsoft 365 и последние предложения служб Microsoft 365, которые обычно называют семейством выпусков vNext Microsoft 365.
В некоторых случаях релиз сервиса vNext немного отличается от стандартного мультитенантного предложения службы Microsoft 365 с точки зрения администрирования и управления.
Как работает ведение журнала аудита с Defender for Cloud Apps
Defender for Cloud Apps интегрируется непосредственно с журналами аудита Microsoft 365 и получает все события аудита от всех поддерживаемых служб. Список поддерживаемых служб см. в статье Службы Microsoft 365, поддерживающие аудит.
Ведение журнала аудита администратора Exchange включено по умолчанию в Microsoft 365. Он регистрирует событие в журнале аудита Microsoft 365, когда администратор (или пользователь с правами администратора) вносит изменения в Exchange Online организации. Изменения, внесенные с помощью Центра администрирования Exchange или с помощью командлета в Windows PowerShell регистрируются в журнале аудита администратора Exchange. Дополнительные сведения о ведении журнала аудита администратора в Exchange см. в разделе Ведение журнала аудита администратора.
События из Exchange, Power BI и Teams появляются только после обнаружения действий из этих служб на портале.
Развертывания с несколькими регионами поддерживаются только для OneDrive.
События из Exchange отражают субъект, который является приложением или пользователем, который выполнил действие.
Как работает интеграция Microsoft Entra
Если Microsoft Entra ID настроен на автоматическую синхронизацию с пользователями в локальной среде Active Directory, параметры в локальной среде переопределяют параметры Microsoft Entra и использование действия "Приостановить управление пользователями" будет отменено.
Для действий входа в Microsoft Entra Defender for Cloud Apps отображает только интерактивные действия входа и действия входа, выполняемые через устаревшие протоколы, такие как ActiveSync.
Примечание.
Microsoft Defender for Cloud Apps отображает неинтерактивные события входа в определенных сценариях, например действия входа, помеченные как
Call: OrgIdWsTrust2:process.Неинтерактивные действия входа можно просмотреть в журнале аудита Microsoft Entra.
Если включены приложения Office, группы, входящие в Microsoft 365, также импортируются в Defender for Cloud Apps из соответствующих приложений Office. Например, если SharePoint включен, группы Microsoft 365 импортируются как группы SharePoint.
Поддержка карантина в Microsoft 365
Поддержка карантина для SharePoint и OneDrive имеет следующие ограничения:
В SharePoint и OneDrive Defender for Cloud Apps поддерживает карантин пользователей только для файлов в библиотеках общих документов (SharePoint Online) и файлов в библиотеке документов (OneDrive для бизнеса).
В SharePoint приложение Defender for Cloud Apps поддерживает операции карантина только для файлов, путь к которым содержит Shared Documents на английском языке.
Подключение Microsoft 365 к Microsoft Defender for Cloud Apps
Выполните следующие действия, чтобы подключить Microsoft Defender for Cloud Apps к существующей учетной записи Microsoft 365 с помощью API соединителя приложений. Подключение Defender for Cloud Apps к Microsoft 365 позволяет просматривать и контролировать использование Microsoft 365. Сведения о том, как Defender for Cloud Apps защищает Microsoft 365, см. в разделе Защита Microsoft 365.
Используйте этот соединитель приложений для доступа к функциям Управления состоянием безопасности SaaS (SSPM) с помощью элементов управления безопасностью, отраженных в оценке безопасности Майкрософт. Подробнее.
Предварительные условия
Чтобы включить мониторинг файлов Microsoft 365 файлов, необходимо войти с помощью учетной записи Microsoft Entra с соответствующей ролью администратора, например администратора приложений или администратора облачных приложений. Дополнительные сведения см. в статье Встроенные роли Microsoft Entra.
Для подключения Microsoft 365 к Defender for Cloud Apps требуется по крайней мере одна назначенная лицензия Microsoft 365.
Чтобы включить мониторинг действий Microsoft 365 в Defender for Cloud Apps, необходимо включить аудит в Microsoft Purview.
Ведение журнала аудита почтовых ящиков Exchange должно быть включено для каждого почтового ящика пользователя, прежде чем будет зарегистрировано действие пользователя в Exchange Online. См. раздел Действия почтовых ящиков Exchange.
Чтобы получить оттуда журналы , необходимо включить аудит в Power BI . После включения аудита Defender for Cloud Apps начинает получать журналы (с задержкой в 24–72 часа).
Чтобы получить оттуда журналы, необходимо включить аудит в Dynamics 365. После включения аудита Defender for Cloud Apps начинает получать журналы (с задержкой в 24–72 часа).
Необходимо включить субъект-службу, чтобы получить поддержку функций обнаружения вредоносного ПО и реагирования (API субъекта-службы включён по умолчанию). После включения API субъекта-службы Defender for Cloud Apps начинает получать журналы (с задержкой в 24–72 часа).
Чтобы подключить Microsoft 365 к Defender for Cloud Apps, выполните приведенные далее действия.
На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений.
На странице Соединители приложений выберите +Подключить приложение, а затем выберите Microsoft 365.
На странице Выбор компонентов Microsoft 365 выберите компоненты, которые нужно защитить, а затем нажмите кнопку Подключить. По умолчанию все компоненты выбираются для максимальной защиты.
Примечание.
- В январе 2026 г. были добавлены значения по умолчанию для поддержки полного покрытия безопасности. Если вы настроили приложение до января 2026 г., убедитесь, что выбраны все параметры по умолчанию, а затем снова выберите Подключиться , чтобы обновить конфигурацию.
- Для максимальной защиты рекомендуется выбрать все компоненты Microsoft 365. Некоторые функции обнаружения угроз и реагирования на них не работают, если не выбраны все необходимые компоненты.
- Чтобы включить защиту для файлов Microsoft 365, необходимо включить мониторинг файлов Defender for Cloud Apps (Параметры Облачные>приложения>Files>Включение мониторинга файлов).
На странице Перейти по ссылке выберите Подключить Microsoft 365.
После того как Microsoft 365 отобразится как успешно подключенная, нажмите кнопку Готово.
На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений.
Убедитесь, что подключенный соединитель приложений имеет состояние Подключено.
Данные управления безопасностью SaaS (SSPM) отображаются на портале Microsoft Defender на странице Оценка безопасности. Дополнительные сведения см. в статье Управление состоянием безопасности для приложений SaaS.
Примечание.
- После подключения к Microsoft 365 вы увидите данные за прошедшую неделю, включая все сторонние приложения, подключенные к Microsoft 365, которые извлекают API. Для сторонних приложений, которые не извлекают API-интерфейсы перед подключением, отображаются события, начинающиеся с подключения к Microsoft 365, так как Defender for Cloud Apps включает все API, которые по умолчанию отключены.
- Файлы и папки, открытые для общего доступа (предоставленные всем) в SharePoint или OneDrive, могут ошибочно отображаться как закрытые.
Если у вас возникли проблемы с подключением Microsoft 365, см. статью "Устранение неполадок соединителей приложений".
Дальнейшие действия
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.