Как Defender for Cloud Apps помогает защитить среду Microsoft 365

Microsoft 365 — это набор для повышения производительности, который предоставляет средства для облачного хранения файлов, совместной работы, бизнес-аналитики (BI) и управления отношениями с клиентами (CRM). Microsoft 365 помогает пользователям обмениваться документами в организации и внешними партнерами в упрощенном и эффективном режиме. Использование Microsoft 365 может предоставлять конфиденциальные данные не только внутренним, но и внешним участникам совместной работы, или, что еще хуже, сделать их общедоступными через общую ссылку. Такие инциденты могут возникать из-за злонамеренного субъекта или незнающего сотрудника. Microsoft 365 также предоставляет большую стороннюю экосистему приложений для повышения производительности. Использование этих приложений может привести к риску вредоносных приложений или использования приложений с чрезмерными разрешениями.

Подключение Microsoft 365 к Defender for Cloud Apps позволяет получить более подробные сведения о действиях пользователей. Defender for Cloud Apps помогает обнаруживать угрозы с помощью обнаружения аномалий на основе машинного обучения и обнаружения защиты информации, таких как обнаружение общего доступа к внешней информации. Defender for Cloud Apps также применяет средства автоматического исправления и обнаруживает угрозы со стороны включенных сторонних приложений в вашей организации.

Defender for Cloud Apps интегрируется непосредственно с журналами аудита Microsoft 365 и обеспечивает защиту для всех поддерживаемых служб. Список поддерживаемых служб см. в статье Службы Microsoft 365, поддерживающие аудит.

Используйте этот соединитель приложений для доступа к функциям Управления состоянием безопасности SaaS (SSPM) с помощью элементов управления безопасностью, отраженных в оценке безопасности Майкрософт. Подробнее.

Обновления для проверки файлов для Microsoft 365

Чтобы повысить эффективность и точность сканирования файлов в средах Microsoft 365, Defender for Cloud Apps обновлен процесс сканирования файлов для Microsoft 365. Если вы не активируете политики защиты информации, Defender for Cloud Apps не сканирует и не хранит организационные файлы.

При активном использовании политик защиты информации корпоративные файлы могут иметь значительную продолжительность сканирования из-за большого объема действий по проверке файлов.

Defender for Cloud Apps добавлены новые улучшения проверки файлов для SharePoint и OneDrive:

  • Более высокая скорость сканирования файлов в SharePoint и OneDrive практически в реальном времени.

  • Улучшенная идентификация для уровня доступа к файлу в SharePoint: уровень доступа к файлам в SharePoint по умолчанию помечается как внутренний, а не как частный (так как каждый файл в SharePoint доступен владельцу сайта, а не только владельцу файла).

    Примечание.

    Изменение уровня доступа к файлам по умолчанию SharePoint с private на internal может повлиять на политики файлов (если политика файлов ищет внутренние или частные файлы в SharePoint).

Основные угрозы

Основными угрозами, которые следует учитывать в Microsoft 365 средах, являются следующие:

  • Скомпрометированные учетные записи и внутренние угрозы
  • Утечка данных
  • Недостаточная осведомленность о безопасности
  • Вредоносные сторонние приложения
  • Вредоносная программа
  • Фишинг
  • Программа-вымогатель
  • Неуправляемый перенос собственного устройства (BYOD)

Как Defender for Cloud Apps помогает защитить среду

Defender for Cloud Apps помогает защитить среду следующим образом:

Управление Microsoft 365 с помощью встроенных политик и шаблонов политик

Вы можете использовать следующие встроенные шаблоны политик для обнаружения потенциальных угроз и уведомления о ней:

Important

Политики файлов удаляются 6 января 2027 г. Чтобы обеспечить защиту данных на основе файлов для этого приложения, перейдите на политики DLP Microsoft Purview или политики автоматической маркировки.

Тип Имя
Встроенная политика обнаружения аномалий Действия с анонимных IP-адресов.
Активность из необычной страны
Действия с подозрительных IP-адресов
Неосуществимое перемещение
Действие, выполненное уволенным пользователем (требуется Microsoft Entra ID в качестве поставщика удостоверений)
Обнаружение вредоносных программ
Многократные неудачные попытки входа.
Обнаружение программ-шантажистов
Подозрительные действия по удалению электронной почты (предварительная версия)
Подозрительная пересылка папки "Входящие"
Необычные действия по удалению файлов
Необычные действия с общими файлами
Необычные действия по скачиванию нескольких файлов
Шаблон политики действий Вход с опасного IP-адреса
Массовое скачивание одним пользователем
Потенциальная активность программы-вымогателя
Изменение уровня доступа (Teams)
Добавлен внешний пользователь (Teams)
Массовое удаление (Teams)
Шаблон политики файлов Обнаружение файла, к которому открыт доступ для неавторизованного домена
Обнаружение файлов, к которым предоставлен общий доступ с личными адресами электронной почты
Обнаружение файлов с помощью PII,PCI/PHI
Политика обнаружения аномалий приложения OAuth Вводящее в заблуждение название приложения OAuth
Неправильное имя издателя для приложения OAuth
Согласие вредоносного приложения OAuth

Дополнительные сведения о создании политик см. в статье "Создание политики Defender for Cloud Apps".

Автоматизация элементов управления

Помимо мониторинга потенциальных угроз, вы можете применить и автоматизировать следующие действия по управлению Microsoft 365 для устранения обнаруженных угроз:

Тип Действие
Управление данными Onedrive:
  • Наследовать разрешения родительской папки
  • Сделать файл или папку закрытыми
  • Поместить файл или папку в карантин администратора
  • Поместить файл или папку в карантин пользователя
  • Удалить файл/папку
  • Удаление определенного участника совместной работы
  • Удалить внешних соавторов из файла или папки
  • Применить метку конфиденциальности Защита информации Microsoft Purview
  • Удалить метку конфиденциальности Защита информации Microsoft Purview
Sharepoint:
  • Наследовать разрешения родительской папки
  • Сделать файл или папку закрытыми
  • Поместить файл или папку в карантин администратора
  • Поместить файл или папку в карантин пользователя
  • Поместите файл или папку в карантин пользователя и добавьте разрешения владельца
  • Удалить файл/папку
  • Удалить внешних соавторов из файла или папки
  • Удаление определенного участника совместной работы
  • Применить метку конфиденциальности Защита информации Microsoft Purview
  • Удалить метку конфиденциальности Защита информации Microsoft Purview
Управление пользователями
  • Уведомлять пользователя об оповещении (через Microsoft Entra ID)
  • Требовать от пользователя повторного входа (через Microsoft Entra ID)
  • Подтвердить, что пользователь скомпрометирован (через Microsoft Entra ID)
  • Приостановка пользователя (через Microsoft Entra ID)
Примечание: Для гостевых пользователей не поддерживаются параметры Требовать повторного входа пользователя, Подтвердить компрометацию пользователя и Приостановить действия пользователя .
Управление приложениями OAuth
  • Отзыв разрешения приложения OAuth

Дополнительные сведения об устранении угроз из подключенных приложений см. в разделе "Управление подключенными приложениями".

Защита Microsoft 365 в режиме реального времени

Ознакомьтесь с нашими рекомендациями по защите и совместной работе с внешними пользователями , а также блокировке и защите загрузки конфиденциальных данных на неуправляемые или рискованные устройства.

интеграция Defender for Cloud Apps с Microsoft 365

Defender for Cloud Apps поддерживает устаревшую выделенную платформу Microsoft 365 и последние предложения служб Microsoft 365, которые обычно называют семейством выпусков vNext Microsoft 365.

В некоторых случаях релиз сервиса vNext немного отличается от стандартного мультитенантного предложения службы Microsoft 365 с точки зрения администрирования и управления.

Как работает ведение журнала аудита с Defender for Cloud Apps

Defender for Cloud Apps интегрируется непосредственно с журналами аудита Microsoft 365 и получает все события аудита от всех поддерживаемых служб. Список поддерживаемых служб см. в статье Службы Microsoft 365, поддерживающие аудит.

  • Ведение журнала аудита администратора Exchange включено по умолчанию в Microsoft 365. Он регистрирует событие в журнале аудита Microsoft 365, когда администратор (или пользователь с правами администратора) вносит изменения в Exchange Online организации. Изменения, внесенные с помощью Центра администрирования Exchange или с помощью командлета в Windows PowerShell регистрируются в журнале аудита администратора Exchange. Дополнительные сведения о ведении журнала аудита администратора в Exchange см. в разделе Ведение журнала аудита администратора.

  • События из Exchange, Power BI и Teams появляются только после обнаружения действий из этих служб на портале.

  • Развертывания с несколькими регионами поддерживаются только для OneDrive.

  • События из Exchange отражают субъект, который является приложением или пользователем, который выполнил действие.

Как работает интеграция Microsoft Entra

  • Если Microsoft Entra ID настроен на автоматическую синхронизацию с пользователями в локальной среде Active Directory, параметры в локальной среде переопределяют параметры Microsoft Entra и использование действия "Приостановить управление пользователями" будет отменено.

  • Для действий входа в Microsoft Entra Defender for Cloud Apps отображает только интерактивные действия входа и действия входа, выполняемые через устаревшие протоколы, такие как ActiveSync.

    Примечание.

    Microsoft Defender for Cloud Apps отображает неинтерактивные события входа в определенных сценариях, например действия входа, помеченные как Call: OrgIdWsTrust2:process.

    Неинтерактивные действия входа можно просмотреть в журнале аудита Microsoft Entra.

  • Если включены приложения Office, группы, входящие в Microsoft 365, также импортируются в Defender for Cloud Apps из соответствующих приложений Office. Например, если SharePoint включен, группы Microsoft 365 импортируются как группы SharePoint.

Поддержка карантина в Microsoft 365

Поддержка карантина для SharePoint и OneDrive имеет следующие ограничения:

  • В SharePoint и OneDrive Defender for Cloud Apps поддерживает карантин пользователей только для файлов в библиотеках общих документов (SharePoint Online) и файлов в библиотеке документов (OneDrive для бизнеса).

  • В SharePoint приложение Defender for Cloud Apps поддерживает операции карантина только для файлов, путь к которым содержит Shared Documents на английском языке.

Подключение Microsoft 365 к Microsoft Defender for Cloud Apps

Выполните следующие действия, чтобы подключить Microsoft Defender for Cloud Apps к существующей учетной записи Microsoft 365 с помощью API соединителя приложений. Подключение Defender for Cloud Apps к Microsoft 365 позволяет просматривать и контролировать использование Microsoft 365. Сведения о том, как Defender for Cloud Apps защищает Microsoft 365, см. в разделе Защита Microsoft 365.

Используйте этот соединитель приложений для доступа к функциям Управления состоянием безопасности SaaS (SSPM) с помощью элементов управления безопасностью, отраженных в оценке безопасности Майкрософт. Подробнее.

Предварительные условия

  • Чтобы включить мониторинг файлов Microsoft 365 файлов, необходимо войти с помощью учетной записи Microsoft Entra с соответствующей ролью администратора, например администратора приложений или администратора облачных приложений. Дополнительные сведения см. в статье Встроенные роли Microsoft Entra.

  • Для подключения Microsoft 365 к Defender for Cloud Apps требуется по крайней мере одна назначенная лицензия Microsoft 365.

  • Чтобы включить мониторинг действий Microsoft 365 в Defender for Cloud Apps, необходимо включить аудит в Microsoft Purview.

  • Ведение журнала аудита почтовых ящиков Exchange должно быть включено для каждого почтового ящика пользователя, прежде чем будет зарегистрировано действие пользователя в Exchange Online. См. раздел Действия почтовых ящиков Exchange.

  • Чтобы получить оттуда журналы , необходимо включить аудит в Power BI . После включения аудита Defender for Cloud Apps начинает получать журналы (с задержкой в 24–72 часа).

  • Чтобы получить оттуда журналы, необходимо включить аудит в Dynamics 365. После включения аудита Defender for Cloud Apps начинает получать журналы (с задержкой в 24–72 часа).

  • Необходимо включить субъект-службу, чтобы получить поддержку функций обнаружения вредоносного ПО и реагирования (API субъекта-службы включён по умолчанию). После включения API субъекта-службы Defender for Cloud Apps начинает получать журналы (с задержкой в 24–72 часа).

Чтобы подключить Microsoft 365 к Defender for Cloud Apps, выполните приведенные далее действия.

  1. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений.

  2. На странице Соединители приложений выберите +Подключить приложение, а затем выберите Microsoft 365.

    Снимок экрана: кнопка

  3. На странице Выбор компонентов Microsoft 365 выберите компоненты, которые нужно защитить, а затем нажмите кнопку Подключить. По умолчанию все компоненты выбираются для максимальной защиты.

    Примечание.

    • В январе 2026 г. были добавлены значения по умолчанию для поддержки полного покрытия безопасности. Если вы настроили приложение до января 2026 г., убедитесь, что выбраны все параметры по умолчанию, а затем снова выберите Подключиться , чтобы обновить конфигурацию.
    • Для максимальной защиты рекомендуется выбрать все компоненты Microsoft 365. Некоторые функции обнаружения угроз и реагирования на них не работают, если не выбраны все необходимые компоненты.
    • Чтобы включить защиту для файлов Microsoft 365, необходимо включить мониторинг файлов Defender for Cloud Apps (Параметры Облачные>приложения>Files>Включение мониторинга файлов).

    Снимок экрана: страница

  4. На странице Перейти по ссылке выберите Подключить Microsoft 365.

  5. После того как Microsoft 365 отобразится как успешно подключенная, нажмите кнопку Готово.

  6. На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений.

  7. Убедитесь, что подключенный соединитель приложений имеет состояние Подключено.

    Данные управления безопасностью SaaS (SSPM) отображаются на портале Microsoft Defender на странице Оценка безопасности. Дополнительные сведения см. в статье Управление состоянием безопасности для приложений SaaS.

    Примечание.

    • После подключения к Microsoft 365 вы увидите данные за прошедшую неделю, включая все сторонние приложения, подключенные к Microsoft 365, которые извлекают API. Для сторонних приложений, которые не извлекают API-интерфейсы перед подключением, отображаются события, начинающиеся с подключения к Microsoft 365, так как Defender for Cloud Apps включает все API, которые по умолчанию отключены.
    • Файлы и папки, открытые для общего доступа (предоставленные всем) в SharePoint или OneDrive, могут ошибочно отображаться как закрытые.

    Если у вас возникли проблемы с подключением Microsoft 365, см. статью "Устранение неполадок соединителей приложений".

Дальнейшие действия

Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.