Поддержка Microsoft Teams в Microsoft Defender для Office 365

Совет

Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

С увеличением использования средств совместной работы, таких как Microsoft Teams, также возросла вероятность вредоносных атак с помощью сообщений чата. В этой статье описаны Microsoft 365 и Microsoft Defender для функций защиты Office 365 для Microsoft Teams.

Все лицензии Microsoft Teams в Microsoft 365 включают следующие встроенные меры защиты:

  • Встроенная защита от вирусов в SharePoint, SharePoint Embedded, OneDrive и Microsoft Teams

  • Отчет об аномалиях внешнего домена Microsoft Teams.

  • Защита URL-адресов практически в реальном времени в сообщениях Teams. Известные вредоносные URL-адреса в сообщениях Teams доставляются с предупреждением. Сообщения, содержащие вредоносные URL-адреса в срок до 48 часов после доставки, также получают предупреждение. Предупреждение добавляется к сообщениям во внутренних и внешних чатах и каналах для всех вердиктов по URL-адресам (а не только для вредоносного ПО или фишинга с высокой степенью достоверности).

    Снимок экрана: сообщение Microsoft Teams с предупреждением по URL-адресу.

Microsoft Defender для Office 365 (план 1) предоставляет следующие дополнительные функции защиты Teams:

  • Время защиты url-адресов и файлов в сообщениях Teams с помощью безопасных ссылок для Microsoft Teams и безопасных вложений для SharePoint, OneDrive и Microsoft Teams.

  • Разрешить или заблокировать домены и адреса, URL-адреса и файлы в Microsoft Teams с помощью списка разрешений и блокировок арендатора.

  • Автоматическая защита в момент обнаружения (ZAP) для Teams: ZAP — это имеющаяся функция защиты электронной почты, которая обнаруживает и нейтрализует спам, фишинг и сообщения, содержащие вредоносное ПО, после доставки, перемещая эти сообщения в папку «Нежелательная почта» или в карантин.

    ZAP для Teams помещает в карантин сообщения во внутренних чатах и каналах Teams, которые распознаются как вредоносное ПО или фишинг с высокой степенью достоверности. Дополнительные сведения см. в разделе Автоматическое удаление при нулевом часе (ZAP) в Microsoft Teams.

    Инструкции по настройке ZAP для защиты Teams приведены в следующем разделе.

  • Сообщения Teams в карантине. По умолчанию только администраторы могут управлять сообщениями Teams, помещенными в карантин ZAP для Teams. Это же ограничение по умолчанию для сообщений электронной почты, определенных как вредоносные программы или фишинг с высокой степенью достоверности. Дополнительные сведения см. в статье Управление сообщениями Teams, помещенными в карантин.

  • Панель сущностей сообщений Teams: единое место для хранения всех метаданных сообщений Teams для немедленной проверки SecOps. Все угрозы, поступающие из чатов Teams, групповых чатов, чатов собраний и других каналов, можно найти в одном месте сразу после их оценки. Дополнительные сведения см. в разделе «Панель сущностей сообщений Teams».

  • Отчеты о элементах Teams. Пользователи могут сообщать элементы Teams (сообщения или вызовы) как вредоносные или не вредоносные. В зависимости от параметров сообщаемого элемента в организации сообщаемые элементы передаются в указанный почтовый ящик отчетов, в корпорацию Майкрософт или в оба варианта. Дополнительные сведения см. в статье Параметры, указанные пользователем в Teams и в следующем видео:

Microsoft 365 E5 и Defender для Office 365 Plan 2 расширяют возможности защиты Teams за счёт ряда дополнительных возможностей, предназначенных для нарушения цепочки атаки:

Эти функции приведены в следующей таблице:

Функция Все команды
Лицензии
Defender для Office 365
План 1
Defender для Office 365
План 2
Встроенная защита от вирусов (SharePoint, OneDrive, Teams)
Отчет об аномалиях внешнего домена Microsoft Teams
Предупреждения об URL-адресах почти в реальном времени (до 48 часов после доставки)
Безопасные ссылки (защита URL-адресов во время щелчка)
Безопасные вложения (защита файлов во время щелчка)
Список разрешенных и заблокированных клиентов (домены, URL-адреса, файлы)
Автоматическая очистка за нулевой час (ZAP) для Teams
Сообщения Teams, помещенные в карантин (под управлением администратора)
Панель сущности сообщений Teams
Элементы Teams, сообщаемые пользователями
Удаление пользователей из чатов Teams (исправление администратора)
Расширенный поиск угроз в сообщениях Teams

Настройка защиты ZAP для Teams в Defender для Office 365

  1. На портале Microsoft Defender по адресу https://security.microsoft.com перейдите в раздел «Параметры»>Электронная почта и совместная работа>Защита Microsoft Teams. Или, чтобы перейти непосредственно на страницу защиты Microsoft Teams , используйте https://security.microsoft.com/securitysettings/teamsProtectionPolicy.

  2. На странице защиты Microsoft Teams проверьте переключатель в разделе Автоматическая очистка в первые часы (ZAP):

    • Включите ZAP для Teams: убедитесь, что переключатель установлен в положение Вкл. .
    • Отключите ZAP для Teams: переместите переключатель в положение Выкл .
  3. Если переключатель имеет значение Включено , используйте остальные параметры на странице, чтобы настроить защиту ZAP для Teams:

    • Раздел Политики карантина. Вы можете выбрать существующую политику карантина, которая будет использоваться для сообщений, которые помещаются в карантин с помощью защиты ZAP для Teams в качестве вредоносных программ или фишинга с высокой степенью достоверности. Политики карантина определяют, что пользователи могут делать с сообщениями в карантине, и получают ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.

      Примечание.

      В настоящее время сообщения Teams, помещенные в карантин, доступны только администраторам, а пользователи не получают уведомления о карантине (используется политика карантина AdminOnlyAccess).

    • Раздел Исключить этих участников: укажите пользователей, группы или домены, которые следует исключить из-под защиты ZAP для Teams. Исключения имеют значение для получателей сообщений, а не для отправителей сообщений. Дополнительные сведения см. в разделе Автоматическое удаление при нулевом часе (ZAP) в Microsoft Teams.

      Исключение можно использовать только один раз, но исключение может содержать несколько значений:

      • Несколько значений одного исключения используют логику OR (например, <recipient1> или <recipient2>). Если получатель соответствует любому из указанных значений, защита ZAP для Teams к ним не применяется.
      • Различные типы исключений используют логику OR (например, recipient1<,><member of group1> или <member of domain1>). Если получатель соответствует любому из указанных значений исключений, защита ZAP для Teams к ним не применяется.
  4. Завершив работу на странице защиты Microsoft Teams , нажмите кнопку Сохранить.

Изображение параметров политики для Microsoft Teams.

Настройка защиты ZAP для Teams с помощью Exchange Online PowerShell

Если вы предпочитаете использовать Exchange Online PowerShell для настройки ZAP для Microsoft Teams, используются следующие командлеты:

  • Политика защиты Teams (*-TeamsProtectionPolicy cmdlets) включает и отключает функцию ZAP для Teams и указывает политики карантина, используемые для обнаружения вредоносных программ и фишинга с высокой степенью уверенности.
  • Правило политики защиты Teams (командлеты *-TeamsProtectionPolicyRule) идентифицирует политику защиты Teams и указывает все исключения для защиты ZAP для Teams (пользователи, группы или домены).

Примечания.

  • В организации существует только одна политика защиты Teams. По умолчанию эта политика называется Политика защиты Teams.
  • Использование командлета New-TeamsProtectionPolicy имеет смысл только в том случае, если в организации нет политики защиты Teams (командлет Get-TeamsProtectionPolicy ничего не возвращает). Командлет можно запустить без ошибок, однако новые политики защиты Teams не будут созданы, если такая политика уже существует.
  • Вы не можете удалить существующую политику защиты Teams или существующее правило политики защиты Teams (командлета Remove-TeamsProtectionPolicy или Remove-TeamsProtectionPolicyRule не существует).
  • По умолчанию в организации есть правило политики защиты Teams с именем Правило политики защиты Teams, возвращаемое командлетом Get-TeamsProtectionPolicyRule . Вы можете использовать портал Defender или командлет Set-TeamsProtectionPolicyRule для изменения политик карантина или исключений для ZAP для Teams.

Использование PowerShell для просмотра политики защиты Teams и правила политики защиты Teams

Чтобы просмотреть важные значения в политике защиты Teams и правиле политики защиты Teams, выполните следующие команды:

Get-TeamsProtectionPolicy | Format-List Name,ZapEnabled,HighConfidencePhishQuarantineTag,MalwareQuarantineTag

Get-TeamsProtectionPolicyRule | Format-List Name,TeamsProtectionPolicy,ExceptIfSentTo,ExceptIfSentToMemberOf,ExceptIfRecipientDomainIs

Подробные сведения о синтаксисе и параметрах см. в разделах Get-TeamsProtectionPolicy и Get-TeamsProtectionPolicyRule.

Изменение политики защиты Teams с помощью PowerShell

Чтобы изменить политику защиты Teams, используйте следующий синтаксис:

Set-TeamsProtectionPolicy -Identity "Teams Protection Policy" [-ZapEnabled <$true | $false>] [-HighConfidencePhishQuarantineTag "<QuarantinePolicyName>"] [-MalwareQuarantineTag "<QuarantinePolicyName>"]

В этом примере включается ZAP для Teams и изменяется политика карантина, применяемая к случаям фишинга, обнаруженным с высокой степенью достоверности:

Set-TeamsProtectionPolicy -Identity "Teams Protection Policy" -ZapEnabled $true -HighConfidencePhishQuarantineTag AdminOnlyWithNotifications

Подробные сведения о синтаксисе и параметрах см. в разделе Set-TeamsProtectionPolicy.

Создание правила политики защиты Teams с помощью PowerShell

По умолчанию правило политики защиты Teams отсутствует, так как для ZAP для Teams нет исключений по умолчанию.

Чтобы создать новое правило политики защиты Teams, используйте следующий синтаксис:

New-TeamsProtectionPolicyRule -Name "Teams Protection Policy Rule" -TeamsProtectionPolicy "Teams Protection Policy" [-ExceptIfSentTo <UserEmail1,UserEmail2,...UserEmailN>] [-ExceptIfSentToMemberOf <GroupEmail1,GroupEmail2,...GroupEmailN>] [-ExceptIfRecipientDomainIs <Domain1,Domain2,...DomainN>]

Важно!

Как уже объяснялось ранее в этой статье, для нескольких типов исключений (пользователи, группы и домены) используется оператор «ИЛИ», а не «И».

В этом примере создается правило политики защиты Teams с участниками группы с именем Research, исключенными из ZAP для защиты Teams.

New-TeamsProtectionPolicyRule -Name "Teams Protection Policy Rule" -TeamsProtectionPolicy "Teams Protection Policy" -ExceptIfSentToMemberOf research@contoso.onmicrosoft.com

Подробные сведения о синтаксисе и параметрах см. в разделе New-TeamsProtectionPolicyRule.

Изменение правила политики защиты Teams с помощью PowerShell

Если правило политики защиты Teams уже существует (командлет Get-TeamsProtectionPolicyRule возвращает выходные данные), используйте следующий синтаксис для изменения правила:

Set-TeamsProtectionPolicyRule -Identity "Teams Protection Policy Rule" [-ExceptIfSentTo <UserEmailAddresses | $null>] [-ExceptIfSentToMemberOf <GroupEmailAddresses | $null>] [-ExceptIfRecipientDomainIs <Domains | $null>]

Примечания.

  • Сведения о синтаксисе для добавления, удаления и замены всех значений параметров ExceptIfSentTo, ExceptIfSentToMemberOf и ExceptIfRecipientDomainIs см. в описании параметров в Set-TeamsProtectionPolicyRule.
  • Чтобы очистить параметры ExceptIfSentTo, ExceptIfSentToMemberOf или ExceptIfRecipientDomainIs, используйте значение $null.

В этом примере изменяется существующее правило политики защиты Teams путем исключения получателей из доменов research.contoso.com и research.contoso.net из-под действия функции ZAP для защиты Teams.

Set-TeamsProtectionPolicyRule -Identity "Teams Protection Policy Rule" -ExceptIfRecipientDomainIs research.contoso.com,research.contoso.net

Подробные сведения о синтаксисе и параметрах см. в разделе Set-TeamsProtectionPolicyRule.

См. также