Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Совет
Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.
С увеличением использования средств совместной работы, таких как Microsoft Teams, также возросла вероятность вредоносных атак с помощью сообщений чата. В этой статье описаны Microsoft 365 и Microsoft Defender для функций защиты Office 365 для Microsoft Teams.
Все лицензии Microsoft Teams в Microsoft 365 включают следующие встроенные меры защиты:
Встроенная защита от вирусов в SharePoint, SharePoint Embedded, OneDrive и Microsoft Teams
Защита URL-адресов практически в реальном времени в сообщениях Teams. Известные вредоносные URL-адреса в сообщениях Teams доставляются с предупреждением. Сообщения, содержащие вредоносные URL-адреса в срок до 48 часов после доставки, также получают предупреждение. Предупреждение добавляется к сообщениям во внутренних и внешних чатах и каналах для всех вердиктов по URL-адресам (а не только для вредоносного ПО или фишинга с высокой степенью достоверности).
Microsoft Defender для Office 365 (план 1) предоставляет следующие дополнительные функции защиты Teams:
Время защиты url-адресов и файлов в сообщениях Teams с помощью безопасных ссылок для Microsoft Teams и безопасных вложений для SharePoint, OneDrive и Microsoft Teams.
Разрешить или заблокировать домены и адреса, URL-адреса и файлы в Microsoft Teams с помощью списка разрешений и блокировок арендатора.
Автоматическая защита в момент обнаружения (ZAP) для Teams: ZAP — это имеющаяся функция защиты электронной почты, которая обнаруживает и нейтрализует спам, фишинг и сообщения, содержащие вредоносное ПО, после доставки, перемещая эти сообщения в папку «Нежелательная почта» или в карантин.
ZAP для Teams помещает в карантин сообщения во внутренних чатах и каналах Teams, которые распознаются как вредоносное ПО или фишинг с высокой степенью достоверности. Дополнительные сведения см. в разделе Автоматическое удаление при нулевом часе (ZAP) в Microsoft Teams.
Инструкции по настройке ZAP для защиты Teams приведены в следующем разделе.
Сообщения Teams в карантине. По умолчанию только администраторы могут управлять сообщениями Teams, помещенными в карантин ZAP для Teams. Это же ограничение по умолчанию для сообщений электронной почты, определенных как вредоносные программы или фишинг с высокой степенью достоверности. Дополнительные сведения см. в статье Управление сообщениями Teams, помещенными в карантин.
Панель сущностей сообщений Teams: единое место для хранения всех метаданных сообщений Teams для немедленной проверки SecOps. Все угрозы, поступающие из чатов Teams, групповых чатов, чатов собраний и других каналов, можно найти в одном месте сразу после их оценки. Дополнительные сведения см. в разделе «Панель сущностей сообщений Teams».
Отчеты о элементах Teams. Пользователи могут сообщать элементы Teams (сообщения или вызовы) как вредоносные или не вредоносные. В зависимости от параметров сообщаемого элемента в организации сообщаемые элементы передаются в указанный почтовый ящик отчетов, в корпорацию Майкрософт или в оба варианта. Дополнительные сведения см. в статье Параметры, указанные пользователем в Teams и в следующем видео:
Microsoft 365 E5 и Defender для Office 365 Plan 2 расширяют возможности защиты Teams за счёт ряда дополнительных возможностей, предназначенных для нарушения цепочки атаки:
Удаление пользователей из чата Teams. Чтобы устранить вредоносные атаки, вы можете удалить пользователей из чатов teams непосредственно на панели сущностей сообщений Teams.
Поиск сообщений Teams с URL-адресами. Вы можете искать сообщения Teams, содержащие URL-адрес, в трех новых таблицах расширенной охоты: MessageEvents, MessagePostDeliveryEvents и MessageURLInfo.
Эти функции приведены в следующей таблице:
| Функция | Все команды Лицензии |
Defender для Office 365 План 1 |
Defender для Office 365 План 2 |
|---|---|---|---|
| Встроенная защита от вирусов (SharePoint, OneDrive, Teams) | |||
| Отчет об аномалиях внешнего домена Microsoft Teams | |||
| Предупреждения об URL-адресах почти в реальном времени (до 48 часов после доставки) | |||
| Безопасные ссылки (защита URL-адресов во время щелчка) | |||
| Безопасные вложения (защита файлов во время щелчка) | |||
| Список разрешенных и заблокированных клиентов (домены, URL-адреса, файлы) | |||
| Автоматическая очистка за нулевой час (ZAP) для Teams | |||
| Сообщения Teams, помещенные в карантин (под управлением администратора) | |||
| Панель сущности сообщений Teams | |||
| Элементы Teams, сообщаемые пользователями | |||
| Удаление пользователей из чатов Teams (исправление администратора) | |||
| Расширенный поиск угроз в сообщениях Teams |
Настройка защиты ZAP для Teams в Defender для Office 365
На портале Microsoft Defender по адресу https://security.microsoft.com перейдите в раздел «Параметры»>Электронная почта и совместная работа>Защита Microsoft Teams. Или, чтобы перейти непосредственно на страницу защиты Microsoft Teams , используйте https://security.microsoft.com/securitysettings/teamsProtectionPolicy.
На странице защиты Microsoft Teams проверьте переключатель в разделе Автоматическая очистка в первые часы (ZAP):
-
Включите ZAP для Teams: убедитесь, что переключатель установлен в положение Вкл.
. -
Отключите ZAP для Teams: переместите переключатель в положение Выкл
.
-
Включите ZAP для Teams: убедитесь, что переключатель установлен в положение Вкл.
Если переключатель имеет значение Включено
, используйте остальные параметры на странице, чтобы настроить защиту ZAP для Teams:Раздел Политики карантина. Вы можете выбрать существующую политику карантина, которая будет использоваться для сообщений, которые помещаются в карантин с помощью защиты ZAP для Teams в качестве вредоносных программ или фишинга с высокой степенью достоверности. Политики карантина определяют, что пользователи могут делать с сообщениями в карантине, и получают ли пользователи уведомления о карантине. Дополнительные сведения см. в разделе Анатомия политики карантина.
Примечание.
В настоящее время сообщения Teams, помещенные в карантин, доступны только администраторам, а пользователи не получают уведомления о карантине (используется политика карантина AdminOnlyAccess).
Раздел Исключить этих участников: укажите пользователей, группы или домены, которые следует исключить из-под защиты ZAP для Teams. Исключения имеют значение для получателей сообщений, а не для отправителей сообщений. Дополнительные сведения см. в разделе Автоматическое удаление при нулевом часе (ZAP) в Microsoft Teams.
Исключение можно использовать только один раз, но исключение может содержать несколько значений:
- Несколько значений одного исключения используют логику OR (например, <recipient1> или <recipient2>). Если получатель соответствует любому из указанных значений, защита ZAP для Teams к ним не применяется.
- Различные типы исключений используют логику OR (например, recipient1<,><member of group1> или <member of domain1>). Если получатель соответствует любому из указанных значений исключений, защита ZAP для Teams к ним не применяется.
Завершив работу на странице защиты Microsoft Teams , нажмите кнопку Сохранить.
Настройка защиты ZAP для Teams с помощью Exchange Online PowerShell
Если вы предпочитаете использовать Exchange Online PowerShell для настройки ZAP для Microsoft Teams, используются следующие командлеты:
- Политика защиты Teams (*-TeamsProtectionPolicy cmdlets) включает и отключает функцию ZAP для Teams и указывает политики карантина, используемые для обнаружения вредоносных программ и фишинга с высокой степенью уверенности.
- Правило политики защиты Teams (командлеты *-TeamsProtectionPolicyRule) идентифицирует политику защиты Teams и указывает все исключения для защиты ZAP для Teams (пользователи, группы или домены).
Примечания.
- В организации существует только одна политика защиты Teams. По умолчанию эта политика называется Политика защиты Teams.
- Использование командлета New-TeamsProtectionPolicy имеет смысл только в том случае, если в организации нет политики защиты Teams (командлет Get-TeamsProtectionPolicy ничего не возвращает). Командлет можно запустить без ошибок, однако новые политики защиты Teams не будут созданы, если такая политика уже существует.
- Вы не можете удалить существующую политику защиты Teams или существующее правило политики защиты Teams (командлета Remove-TeamsProtectionPolicy или Remove-TeamsProtectionPolicyRule не существует).
- По умолчанию в организации есть правило политики защиты Teams с именем Правило политики защиты Teams, возвращаемое командлетом Get-TeamsProtectionPolicyRule . Вы можете использовать портал Defender или командлет Set-TeamsProtectionPolicyRule для изменения политик карантина или исключений для ZAP для Teams.
Использование PowerShell для просмотра политики защиты Teams и правила политики защиты Teams
Чтобы просмотреть важные значения в политике защиты Teams и правиле политики защиты Teams, выполните следующие команды:
Get-TeamsProtectionPolicy | Format-List Name,ZapEnabled,HighConfidencePhishQuarantineTag,MalwareQuarantineTag
Get-TeamsProtectionPolicyRule | Format-List Name,TeamsProtectionPolicy,ExceptIfSentTo,ExceptIfSentToMemberOf,ExceptIfRecipientDomainIs
Подробные сведения о синтаксисе и параметрах см. в разделах Get-TeamsProtectionPolicy и Get-TeamsProtectionPolicyRule.
Изменение политики защиты Teams с помощью PowerShell
Чтобы изменить политику защиты Teams, используйте следующий синтаксис:
Set-TeamsProtectionPolicy -Identity "Teams Protection Policy" [-ZapEnabled <$true | $false>] [-HighConfidencePhishQuarantineTag "<QuarantinePolicyName>"] [-MalwareQuarantineTag "<QuarantinePolicyName>"]
В этом примере включается ZAP для Teams и изменяется политика карантина, применяемая к случаям фишинга, обнаруженным с высокой степенью достоверности:
Set-TeamsProtectionPolicy -Identity "Teams Protection Policy" -ZapEnabled $true -HighConfidencePhishQuarantineTag AdminOnlyWithNotifications
Подробные сведения о синтаксисе и параметрах см. в разделе Set-TeamsProtectionPolicy.
Создание правила политики защиты Teams с помощью PowerShell
По умолчанию правило политики защиты Teams отсутствует, так как для ZAP для Teams нет исключений по умолчанию.
Чтобы создать новое правило политики защиты Teams, используйте следующий синтаксис:
New-TeamsProtectionPolicyRule -Name "Teams Protection Policy Rule" -TeamsProtectionPolicy "Teams Protection Policy" [-ExceptIfSentTo <UserEmail1,UserEmail2,...UserEmailN>] [-ExceptIfSentToMemberOf <GroupEmail1,GroupEmail2,...GroupEmailN>] [-ExceptIfRecipientDomainIs <Domain1,Domain2,...DomainN>]
Важно!
Как уже объяснялось ранее в этой статье, для нескольких типов исключений (пользователи, группы и домены) используется оператор «ИЛИ», а не «И».
В этом примере создается правило политики защиты Teams с участниками группы с именем Research, исключенными из ZAP для защиты Teams.
New-TeamsProtectionPolicyRule -Name "Teams Protection Policy Rule" -TeamsProtectionPolicy "Teams Protection Policy" -ExceptIfSentToMemberOf research@contoso.onmicrosoft.com
Подробные сведения о синтаксисе и параметрах см. в разделе New-TeamsProtectionPolicyRule.
Изменение правила политики защиты Teams с помощью PowerShell
Если правило политики защиты Teams уже существует (командлет Get-TeamsProtectionPolicyRule возвращает выходные данные), используйте следующий синтаксис для изменения правила:
Set-TeamsProtectionPolicyRule -Identity "Teams Protection Policy Rule" [-ExceptIfSentTo <UserEmailAddresses | $null>] [-ExceptIfSentToMemberOf <GroupEmailAddresses | $null>] [-ExceptIfRecipientDomainIs <Domains | $null>]
Примечания.
- Сведения о синтаксисе для добавления, удаления и замены всех значений параметров ExceptIfSentTo, ExceptIfSentToMemberOf и ExceptIfRecipientDomainIs см. в описании параметров в Set-TeamsProtectionPolicyRule.
- Чтобы очистить параметры ExceptIfSentTo, ExceptIfSentToMemberOf или ExceptIfRecipientDomainIs, используйте значение
$null.
В этом примере изменяется существующее правило политики защиты Teams путем исключения получателей из доменов research.contoso.com и research.contoso.net из-под действия функции ZAP для защиты Teams.
Set-TeamsProtectionPolicyRule -Identity "Teams Protection Policy Rule" -ExceptIfRecipientDomainIs research.contoso.com,research.contoso.net
Подробные сведения о синтаксисе и параметрах см. в разделе Set-TeamsProtectionPolicyRule.
См. также
- Microsoft Teams
- Управление сообщениями Teams, помещенными в карантин
- Начало работы с использованием обучения с моделированием атак в Defender для Office 365
- Начните работу с Defender for Cloud Apps для Microsoft Teams
- Начало работы с обеспечением соответствия требованиям и защитой от потери данных в Microsoft Teams