Включите Безопасные вложения для SharePoint, OneDrive и Microsoft Teams

Совет

Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

В организациях с Microsoft Defender для Office 365 безопасные вложения для Office 365 для SharePoint, OneDrive и Microsoft Teams защищают вашу организацию от случайного совместного использования вредоносных файлов. Дополнительные сведения см. в статье Безопасные вложения для SharePoint, OneDrive и Microsoft Teams.

Вы включаете или отключаете безопасные вложения для Office 365 для SharePoint, OneDrive и Microsoft Teams на портале Microsoft Defender или в Exchange Online PowerShell.

Что нужно знать перед началом работы

Прежде чем начать, убедитесь, что у вас есть следующий доступ, разрешения и настройка.

  • Откройте портал Microsoft Defender на портале Microsoft Defender. Чтобы перейти непосредственно на страницу "Безопасные вложения" , используйте безопасные вложения.

  • Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

  • Прежде чем вы сможете выполнить процедуры, описанные в этой статье, вам должны быть назначены разрешения. Возможны следующие варианты:

    • Microsoft Defender XDR унифицированное управление доступом на основе ролей (RBAC) (Если Электронная почта & совместная работа>Defender для Office 365 разрешения активен. Влияет только на портал Defender, а не на PowerShell):

      • Включите безопасные вложения для SharePoint, OneDrive и Microsoft Teams: авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление).
    • Разрешения для электронной почты и совместной работы на портале Microsoft Defender:

      • Включите безопасные вложения для SharePoint, OneDrive и Microsoft Teams: членство в группах ролей "Управление организацией " или "Администратор безопасности ".
    • Разрешения Microsoft Entra: Членство в следующих ролях предоставляет пользователям необходимые разрешения и разрешения для использования других функций Microsoft 365.

      • Включите параметр Безопасные вложения для SharePoint, OneDrive и Microsoft Teams: глобальный администратор* или администратор безопасности.
      • Используйте SharePoint Online PowerShell, чтобы запретить пользователям загружать вредоносные файлы: глобальный администратор* или администратор SharePoint.

      Важно!

      * Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.

  • Убедитесь, что ведение журнала аудита включено для вашей организации (оно включено по умолчанию). Инструкции см. в разделе Включение и отключение аудита.

  • Подождите до 30 минут, чтобы изменения вступили в силу.

Шаг 1. Включение безопасных вложений для SharePoint, OneDrive и Microsoft Teams с помощью портала Microsoft Defender

Выполните следующие действия, чтобы включить безопасные вложения для SharePoint, OneDrive и Microsoft Teams на портале Microsoft Defender:

  1. На портале Microsoft Defender по адресу https://security.microsoft.com перейдите в раздел Электронная почта и совместная работа>Политики и правила>Политики угроз>Безопасные вложения в разделе Политики. Или, чтобы перейти непосредственно на страницу Безопасные вложения , используйте https://security.microsoft.com/safeattachmentv2.

  2. На странице Безопасные вложения выберите Глобальные параметры.

  3. Во всплывающем окне Глобальные параметры перейдите к разделу Защита файлов в SharePoint, OneDrive и Microsoft Teams .

    Переместите переключатель Microsoft Defender для Office 365 для SharePoint, OneDrive и Microsoft Teams вправо , чтобы включить функцию «Безопасные вложения» для SharePoint, OneDrive и Microsoft Teams.

    По завершении во всплывающем окне Глобальные параметры нажмите кнопку Сохранить.

Включение безопасных вложений для SharePoint, OneDrive и Microsoft Teams с помощью Exchange Online PowerShell

Если вы предпочитаете использовать PowerShell для включения защиты Defender для Office 365 для SharePoint, OneDrive и Microsoft Teams, чтобы вредоносные файлы в этих службах могли быть обнаружены и действовать, подключитесь к Exchange Online PowerShell. и выполните следующую команду:

Set-AtpPolicyForO365 -EnableATPForSPOTeamsODB $true

Подробные сведения о синтаксисе и параметрах см. в разделе Set-AtpPolicyForO365.

По умолчанию пользователи не могут открывать, перемещать, копировать или совместно использовать* вредоносные файлы, обнаруженные безопасными вложениями для SharePoint, OneDrive и Microsoft Teams. Однако они могут удалять и скачивать вредоносные файлы.

* Если пользователи переходят в раздел Управление доступом, параметр Поделиться по-прежнему доступен.

Чтобы настроить клиент SharePoint, чтобы запретить пользователям скачивание файлов, которые были идентифицированы как вредоносные, подключитесь к SharePoint Online PowerShell и выполните следующую команду:

Set-SPOTenant -DisallowInfectedFileDownload $true

Примечания.

  • Этот параметр влияет как на пользователей, так и на администраторов.
  • Пользователи по-прежнему могут удалять вредоносные файлы.

Подробные сведения о синтаксисе и параметрах см. в разделе Set-SPOTenant.

Вы можете создать политику оповещений, которая уведомляет администраторов о том, что безопасные вложения для SharePoint, OneDrive и Microsoft Teams обнаруживают вредоносный файл. Дополнительные сведения о политиках оповещений см. в статье Политики оповещений на портале Microsoft Defender.

  1. На портале Microsoft Defender по адресу https://security.microsoft.com перейдите в Электронная почта & совместная работа>Политики & правила>Политика оповещений. Чтобы сразу перейти на страницу Политика оповещений, воспользуйтесь ссылкой https://security.microsoft.com/alertpolicies.

  2. На странице Политика оповещений выберите Создать политику оповещений , чтобы запустить мастер создания политики оповещений.

  3. На странице Имя оповещения, классифицируйте его и выберите серьезность , настройте следующие параметры:

    • Имя: введите уникальное описательное имя. Например, вредоносные файлы в библиотеках.
    • Описание. Введите необязательное описание. Например, уведомляет администраторов об обнаружении вредоносных файлов в SharePoint, OneDrive или Microsoft Teams.
    • Серьезность: выберите Низкий, Средний или Высокий в раскрывающемся списке.
    • Категория. Выберите Управление угрозами в раскрывающемся списке.

    Завершив работу с полем Имя оповещения, классифицируйте его и выберите страницу серьезности и нажмите кнопку Далее.

  4. На странице Выбор действия, условия и время активации оповещения настройте следующие параметры:

    • О чем вы хотите оповещать? Раздел >Действие — это>общие действия пользователей , раздел > Выберите обнаруженную вредоносную программу в файле из раскрывающегося списка.
    • Как нужно активировать оповещение? section: выберите Каждый раз, когда действие соответствует правилу.

    Завершив работу на странице Выбор действия, условия и время активации оповещения , нажмите кнопку Далее.

  5. На странице Решите, хотите ли вы уведомлять пользователей о активации этого оповещения , настройте следующие параметры:

    • Убедитесь, что выбрано согласие на Уведомления по электронной почте. В поле получателей Email выберите одного или нескольких администраторов, которые должны получать уведомления при обнаружении вредоносного файла.
    • Ежедневное ограничение на уведомления. Оставьте значение по умолчанию Без ограничения .

    Завершив работу на странице Решите, хотите ли вы уведомлять людей о активации этого оповещения , нажмите кнопку Далее.

  6. На странице Проверка параметров проверьте параметры. Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете выбрать Назад или конкретную страницу в мастере.

    В разделе Хотите включить политику сразу? выберите Да, включить сразу.

    По завершении на странице Просмотр параметров нажмите кнопку Отправить.

  7. На странице подтверждения можно просмотреть политику генерации оповещений в режиме только для чтения.

    По завершении нажмите кнопку Готово.

    На странице Политика оповещений отобразится новая политика.

Используйте PowerShell для Security & Compliance, чтобы создать политику предупреждений для обнаруженных файлов

Если вы предпочитаете использовать PowerShell для создания политики предупреждений, которая уведомляет администраторов каждый раз, когда в SharePoint, OneDrive или библиотеках Microsoft Teams обнаруживается вредоносное ПО, подключитесь к PowerShell для Security & Compliance и выполните следующую команду:

New-ProtectionAlert -Name "Malicious Files in Libraries" -Description "Notifies admins when malicious files are detected in SharePoint, OneDrive, or Microsoft Teams" -AggregationType None -Category ThreatManagement -ThreatType Activity -Operation FileMalwareDetected -NotifyUser "admin1@contoso.com","admin2@contoso.com"

Значение серьезности по умолчанию — Низкий. Чтобы указать значение Medium или High, включите в команду параметр Severity и его значение.

Подробные сведения о синтаксисе и параметрах см. в разделе New-ProtectionAlert.

Как проверить, что эти процедуры выполнены?

Используйте следующие методы, чтобы убедиться, что каждая процедура успешно завершена:

  • Чтобы убедиться, что вы успешно включили безопасные вложения для SharePoint, OneDrive и Microsoft Teams, выполните одно из следующих действий.

    • На портале Microsoft Defender перейдите в раздел Политики & правила> Политикиугроз>Политики>безопасных вложений, выберите Глобальные параметры и проверьте значение параметра Включить Defender для Office 365 для SharePoint, OneDrive и Microsoft Teams.

    • В Exchange Online PowerShell выполните следующую команду, чтобы проверить параметр свойства:

      Get-AtpPolicyForO365 | Format-List EnableATPForSPOTeamsODB
      

      Подробные сведения о синтаксисе и параметрах см. в разделе Get-AtpPolicyForO365.

  • Чтобы убедиться, что вы успешно заблокировали скачивание вредоносных файлов, откройте SharePoint Online PowerShell и выполните следующую команду, чтобы проверить, заблокированы ли скачивание инфицированных файлов:

    Get-SPOTenant | Format-List DisallowInfectedFileDownload
    

    Подробные сведения о синтаксисе и параметрах см. в разделе Get-SPOTenant.

  • Чтобы убедиться, что политика оповещений для обнаруженных файлов успешно настроена, используйте один из следующих методов:

    • На портале Microsoft Defender по адресу https://security.microsoft.com/alertpoliciesвыберите политику оповещений и проверьте параметры.

    • В PowerShell для Security & Compliance замените <AlertPolicyName> на имя политики оповещений, затем выполните следующую команду и проверьте значения свойств:

      Get-ProtectionAlert -Identity "<AlertPolicyName>"
      

      Подробные сведения о синтаксисе и параметрах см. в разделе Get-ProtectionAlert.

  • Используйте отчет о состоянии защиты от угроз , чтобы просмотреть сведения об обнаруженных файлах в SharePoint, OneDrive и Microsoft Teams. В частности, можно использовать режим Просмотр данных по: содержимому и > вредоносным программам.