Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft 365 — это набор для повышения производительности, который предоставляет средства для облачного хранения файлов, совместной работы, бизнес-аналитики (BI) и управления отношениями с клиентами (CRM). Она помогает пользователям делиться своими документами в организации и внешними партнерами упрощенным и эффективным способом. Использование Microsoft 365 может предоставлять конфиденциальные данные не только внутренним, но и внешним участникам совместной работы, или, что еще хуже, сделать их общедоступными через общую ссылку. Такие инциденты могут возникать из-за злонамеренного субъекта или незнающего сотрудника. Microsoft 365 также предоставляет большую стороннюю экосистему приложений для повышения производительности. Использование этих приложений может привести к риску вредоносных приложений или использования приложений с чрезмерными разрешениями.
Подключение Microsoft 365 к Defender for Cloud Apps позволяет получить более подробные сведения о действиях пользователей. Он помогает обнаруживать угрозы с помощью обнаружения аномалий на основе машинного обучения и обнаружения защиты информации, таких как обнаружение внешнего обмена информацией. Он также применяет автоматизированные средства управления исправлением и обнаруживает угрозы из включенных сторонних приложений в вашей организации.
Defender for Cloud Apps интегрируется непосредственно с журналами аудита Microsoft 365 и обеспечивает защиту для всех поддерживаемых служб. Список поддерживаемых служб см. в статье Службы Microsoft 365, поддерживающие аудит.
Используйте этот соединитель приложений для доступа к функциям Управления состоянием безопасности SaaS (SSPM) с помощью элементов управления безопасностью, отраженных в оценке безопасности Майкрософт. Подробнее.
Обновления для проверки файлов для Microsoft 365
Чтобы повысить эффективность и точность сканирования файлов в средах Microsoft 365, Defender for Cloud Apps обновлен процесс сканирования файлов для Microsoft 365. Если вы не активируете политики защиты информации, Defender for Cloud Apps не сканирует и не хранит организационные файлы.
При активном использовании политик защиты информации корпоративные файлы могут иметь значительную продолжительность сканирования из-за большого объема действий по проверке файлов.
Defender for Cloud Apps добавлены новые улучшения проверки файлов для SharePoint и OneDrive:
Более высокая скорость сканирования файлов в SharePoint и OneDrive практически в реальном времени.
Улучшенная идентификация для уровня доступа к файлу в SharePoint: уровень доступа к файлам в SharePoint по умолчанию помечается как внутренний, а не как частный (так как каждый файл в SharePoint доступен владельцу сайта, а не только владельцу файла).
Примечание.
Это изменение может повлиять на политики файлов (если политика файлов ищет внутренние или частные файлы в SharePoint).
Основные угрозы
- Скомпрометированные учетные записи и внутренние угрозы
- Утечка данных
- Недостаточная осведомленность о безопасности
- Вредоносные сторонние приложения
- Вредоносная программа
- Фишинговое
- Программа-шантажист
- Неуправляемый перенос собственного устройства (BYOD)
Как Defender for Cloud Apps помогает защитить среду
- Обнаружение облачных угроз, скомпрометированных учетных записей и вредоносных участников программы предварительной оценки
- Обнаружение, классификация, применение меток и защита регламентированных и конфиденциальных данных, хранящихся в облаке
- Обнаружение приложений OAuth, имеющих доступ к вашей среде, и управление ими
- Применение политики защиты от потери данных и политики соответствия требованиям для данных, хранящихся в облаке
- Ограничение раскрытия общих данных и обеспечение соблюдения политик совместной работы
- Использование журнала аудита действий для криминалистических исследований
Управление Microsoft 365 с помощью встроенных политик и шаблонов политик
Вы можете использовать следующие встроенные шаблоны политик для обнаружения потенциальных угроз и уведомления о ней:
| Тип | Имя |
|---|---|
| Встроенная политика обнаружения аномалий |
Действия с анонимных IP-адресов. Действия из редкой страны Действия с подозрительных IP-адресов Неосуществимое перемещение Действие, выполненное прерванным пользователем (требуется Microsoft Entra ID в качестве поставщика удостоверений) Обнаружение вредоносных программ Многократные неудачные попытки входа. Обнаружение программ-шантажистов Подозрительные действия по удалению электронной почты (предварительная версия) Подозрительная пересылка папки "Входящие" Необычные действия по удалению файлов Необычные действия общего доступа к файлам Необычные действия по скачиванию нескольких файлов |
| Шаблон политики действий | Вход с опасного IP-адреса Массовое скачивание одним пользователем Потенциальная активность программ-шантажистов Изменение уровня доступа (Teams) Добавлен внешний пользователь (Teams) Массовое удаление (Teams) |
| Шаблон политики файлов | Обнаружение файла, к которым предоставлен общий доступ с несанкционированным доменом Обнаружение файлов, к которым предоставлен общий доступ с личными адресами электронной почты Обнаружение файлов с помощью PII,PCI/PHI |
| Политика обнаружения аномалий приложения OAuth |
Вводя в заблуждение имя приложения OAuth Неправильное имя издателя для приложения OAuth Согласие вредоносного приложения OAuth |
Дополнительные сведения о создании политик см. в разделе Создание политики.
Автоматизация элементов управления
Помимо мониторинга потенциальных угроз, вы можете применить и автоматизировать следующие действия по управлению Microsoft 365 для устранения обнаруженных угроз:
| Тип | Действие |
|---|---|
| Управление данными |
Onedrive: — наследовать разрешения родительской папки — сделать файл или папку закрытыми — поместить файл или папку в карантин администратора. — поместить файл или папку в карантин пользователя — Корзина файла или папки — Удаление определенного участника совместной работы — Удаление внешних участников совместной работы в файле или папке — Применение метки конфиденциальности Защита информации Microsoft Purview — удаление метки конфиденциальности Защита информации Microsoft Purview Sharepoint: — наследовать разрешения родительской папки — сделать файл или папку закрытыми — поместить файл или папку в карантин администратора. — поместить файл или папку в карантин пользователя — поместите файл или папку в карантин пользователя и добавьте разрешения владельца. — Корзина файла или папки — Удаление внешних участников совместной работы в файле или папке — Удаление определенного участника совместной работы — Применение метки конфиденциальности Защита информации Microsoft Purview — удаление метки конфиденциальности Защита информации Microsoft Purview |
| Управление пользователями | — уведомление пользователя об оповещении (через Microsoft Entra ID) — требовать от пользователя повторного входа (через Microsoft Entra ID). — Приостановить пользователя (через Microsoft Entra ID) |
| Управление приложениями OAuth | — Отмена разрешения приложения OAuth |
Дополнительные сведения об устранении угроз из приложений см. в разделе Управление подключенными приложениями.
Защита Microsoft 365 в режиме реального времени
Ознакомьтесь с нашими рекомендациями по защите и совместной работе с внешними пользователями , а также блокировке и защите загрузки конфиденциальных данных на неуправляемые или рискованные устройства.
интеграция Defender for Cloud Apps с Microsoft 365
Defender for Cloud Apps поддерживает устаревшую выделенную платформу Microsoft 365 и последние предложения служб Microsoft 365, которые обычно называют семейством выпусков vNext Microsoft 365.
В некоторых случаях выпуск службы vNext немного отличается на уровне администрирования и управления от стандартного предложения Microsoft 365.
Ведение журнала аудита
Defender for Cloud Apps интегрируется непосредственно с журналами аудита Microsoft 365 и получает все события аудита от всех поддерживаемых служб. Список поддерживаемых служб см. в статье Службы Microsoft 365, поддерживающие аудит.
Ведение журнала аудита администратора Exchange включено по умолчанию в Microsoft 365. Он регистрирует событие в журнале аудита Microsoft 365, когда администратор (или пользователь с правами администратора) вносит изменения в Exchange Online организации. Изменения, внесенные с помощью Центра администрирования Exchange или с помощью командлета в Windows PowerShell регистрируются в журнале аудита администратора Exchange. Дополнительные сведения о ведении журнала аудита администратора в Exchange см. в разделе Ведение журнала аудита администратора.
События из Exchange, Power BI и Teams появляются только после обнаружения действий из этих служб на портале.
Развертывания с несколькими регионами поддерживаются только для OneDrive.
События из Exchange отражают субъект, который является приложением или пользователем, который выполнил действие.
интеграция Microsoft Entra
Если Microsoft Entra ID настроен на автоматическую синхронизацию с пользователями в локальной среде Active Directory, параметры в локальной среде переопределяют параметры Microsoft Entra и использование действия "Приостановить управление пользователями" будет отменено.
Для Microsoft Entra действий входа Defender for Cloud Apps отображаются только интерактивные действия входа и действия входа из устаревших протоколов, таких как ActiveSync.
Примечание.
Microsoft Defender for Cloud Apps отображаются неинтерактивные события входа в определенных сценариях, например действия входа с меткой
Call: OrgIdWsTrust2:process.Неинтерактивные действия входа можно просмотреть в журнале аудита Microsoft Entra.
Если включены приложения Office, группы, входящие в Состав Microsoft 365, также импортируются в Defender for Cloud Apps из определенных приложений Office. Например, если SharePoint включен, группы Microsoft 365 импортируются как группы SharePoint.
Поддержка карантина
В SharePoint и OneDrive Defender for Cloud Apps поддерживает карантин пользователей только для файлов в библиотеках общих документов (SharePoint Online) и файлов в библиотеке документов (OneDrive для бизнеса).
В SharePoint Defender for Cloud Apps поддерживает задачи карантина только для файлов с общими документами в пути на английском языке.
Подключение Microsoft 365 к Microsoft Defender for Cloud Apps
В этом разделе приведены инструкции по подключению Microsoft Defender for Cloud Apps к существующей учетной записи Microsoft 365 с помощью API соединителя приложений. Это подключение позволяет отслеживать использование Microsoft 365 и управлять ими. Сведения о том, как Defender for Cloud Apps защищает Microsoft 365, см. в разделе Защита Microsoft 365.
Используйте этот соединитель приложений для доступа к функциям Управления состоянием безопасности SaaS (SSPM) с помощью элементов управления безопасностью, отраженных в оценке безопасности Майкрософт. Подробнее.
Предварительные условия
Чтобы включить мониторинг файлов Microsoft 365, необходимо использовать соответствующий идентификатор Microsoft Entra Администратор, например администратор приложений или администратор облачных приложений. Дополнительные сведения см. в разделе Microsoft Entra встроенных ролей.
Для подключения Microsoft 365 к Defender for Cloud Apps требуется по крайней мере одна назначенная лицензия Microsoft 365.
Чтобы включить мониторинг действий Microsoft 365 в Defender for Cloud Apps, необходимо включить аудит в Microsoft Purview.
Ведение журнала аудита почтовых ящиков Exchange должно быть включено для каждого почтового ящика пользователя, прежде чем будет зарегистрировано действие пользователя в Exchange Online. См. раздел Действия почтовых ящиков Exchange.
Чтобы получить оттуда журналы , необходимо включить аудит в Power BI . После включения аудита Defender for Cloud Apps начинает получать журналы (с задержкой в 24–72 часа).
Чтобы получить оттуда журналы, необходимо включить аудит в Dynamics 365. После включения аудита Defender for Cloud Apps начинает получать журналы (с задержкой в 24–72 часа).
Необходимо включить субъект-службу для получения поддержки обнаружения вредоносных программ и реагирования на нее (этот API службы включен по умолчанию). После включения API Defender for Cloud Apps начинает получать журналы (с задержкой в 24–72 часа).
Чтобы подключить Microsoft 365 к Defender for Cloud Apps, выполните приведенные далее действия.
На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений.
На странице Соединители приложений выберите +Подключить приложение, а затем выберите Microsoft 365.
На странице Выбор компонентов Microsoft 365 выберите компоненты, которые нужно защитить, а затем нажмите кнопку Подключить. По умолчанию все компоненты выбираются для максимальной защиты.
Примечание.
- В январе 2026 г. были добавлены значения по умолчанию для поддержки полного покрытия безопасности. Если вы настроили приложение до января 2026 г., убедитесь, что выбраны все параметры по умолчанию, а затем снова выберите Подключиться , чтобы обновить конфигурацию.
- Для максимальной защиты рекомендуется выбрать все компоненты Microsoft 365. Некоторые функции обнаружения угроз и реагирования на них не работают, если не выбраны все необходимые компоненты.
- Чтобы включить защиту для файлов Microsoft 365, необходимовключить мониторинг файлов Defender for Cloud Apps (Параметры Файлы облачных>приложений>>Включить мониторинг файлов).
На странице Перейти по ссылке выберите Подключить Microsoft 365.
После того как Microsoft 365 отобразится как успешно подключенная, нажмите кнопку Готово.
На портале Microsoft Defender выберите Параметры. Затем выберите Облачные приложения. В разделе Подключенные приложения выберите Соединители приложений.
Убедитесь, что подключенный соединитель приложений имеет состояние Подключено.
Данные управления безопасностью SaaS (SSPM) отображаются на портале Microsoft Defender на странице Оценка безопасности. Дополнительные сведения см. в статье Управление состоянием безопасности для приложений SaaS.
Примечание.
- После подключения к Microsoft 365 вы увидите данные за прошедшую неделю, включая все сторонние приложения, подключенные к Microsoft 365, которые извлекают API. Для сторонних приложений, которые не извлекают API-интерфейсы перед подключением, отображаются события, начинающиеся с подключения к Microsoft 365, так как Defender for Cloud Apps включает все API, которые по умолчанию отключены.
- Файлы и папки, к которым предоставлен общий доступ (общий доступ кому-либо) в SharePoint или OneDrive, могут неправильно отображаться как частные.
Если у вас возникли проблемы с подключением к приложению, см. статью Устранение неполадок с соединителями приложений.
Дальнейшие действия
Если у вас возникнут какие-либо проблемы, мы здесь, чтобы помочь. Чтобы получить помощь или поддержку по проблеме с продуктом, отправьте запрос в службу поддержки.