Безопасные документы в Microsoft 365 A5/E5/G5 или Microsoft Defender Suite

Совет

Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

Безопасные документы — это функция уровня "Премиум", которая использует облачную серверную часть Microsoft Defender для конечной точки для сканирования открытых документов Office в защищенном представлении или Application Guard для Office.

Для защиты безопасных документов пользователям не требуется установка Defender для конечной точки на локальных устройствах. Пользователи получают защиту безопасных документов, если выполняются все следующие требования:

  • Безопасные документы включаются в организации с помощью шагов по настройке, описанных далее в этой статье.

  • Пользователям назначены лицензии из плана лицензирования, включающего план обслуживания Office 365 SafeDocs.

    Безопасные документы управляются планом обслуживания Office 365 SafeDocs (или SAFEDOCS или bf6f5520-59e3-4f82-974b-7dbbc4fd27c7). Этот план обслуживания доступен в следующих продуктах:

    • Microsoft 365 A5
    • Microsoft 365 E5
    • Microsoft 365 для государственных организаций (GCC) G5
    • Microsoft 365 GCC High G5
    • Microsoft Defender Suite

    Безопасные документы не включены в Microsoft Defender для Office 365 (план 1) или план 2.

  • Пользователи используют Приложения Microsoft 365 для предприятий (прежнее название — Office 365 профессиональный плюс) версии 2004 или более поздней.

Что нужно знать перед началом работы

  • Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Безопасные вложения, используйте .https://security.microsoft.com/safeattachmentv2

  • Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

  • Прежде чем выполнять процедуры, описанные в этой статье, вам должны быть назначены разрешения. Возможны следующие варианты:

    • Microsoft Defender XDR: единое управление доступом на основе ролей (RBAC) (если для Электронная почта & совместная работа>Defender для Office 365 разрешение имеет значение Active. Влияет только на портал Defender, но не на PowerShell): Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).

    • разрешения Exchange Online:

      • Настройка параметров безопасных документов: членство в группах ролей "Управление организацией" или "Администратор безопасности ".
      • Доступ только для чтения к параметрам безопасных документов: членство в группах ролей "Глобальный читатель", "Читатель безопасности" или "Управление организацией только для просмотра ".
    • Разрешения Microsoft Entra: Членство в ролях Глобальный администратор*, Администратор безопасности, Глобальный читатель или Читатель безопасности предоставляет пользователям необходимые разрешения, а также разрешения для использования других функций Microsoft 365.

      Важно!

      * Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.

Как корпорация Майкрософт обрабатывает ваши данные?

Для вашей защиты Safe Documents отправляет сведения о файле в облако Microsoft Defender для конечных точек для анализа. Дополнительные сведения о том, как Microsoft Defender для конечной точки обрабатывает данные, см. в разделе Microsoft Defender для конечной точки хранилище данных и конфиденциальность.

Сведения о файлах, отправляемые безопасными документами, не хранятся в Defender для конечной точки сверх времени, необходимого для анализа (обычно менее 24 часов).

Настройка безопасных документов с помощью портала Microsoft Defender

Чтобы настроить безопасные документы на портале Microsoft Defender, выполните следующие действия.

  1. На портале Microsoft Defender перейдите на страницу Безопасные вложения по адресу https://security.microsoft.com, затем перейдите в раздел Электронная почта и совместная работа>Политики & правила>Политики угроз>Безопасные вложения в разделе Политики. Или, чтобы перейти непосредственно на страницу Безопасные вложения , используйте https://security.microsoft.com/safeattachmentv2.

  2. На странице Безопасные вложения выберите Глобальные параметры.

  3. Во всплывающем окне Глобальные параметры подтвердите или настройте следующие параметры:

    • Включите безопасные документы для клиентов Office. Переместите переключатель вправо, чтобы включить функцию : .
    • Разрешить открывать файл, минуя режим защищенного просмотра, даже если функция "Безопасные документы" определила файл как вредоносный: Мы рекомендуем оставить этот параметр отключенным .

    По завершении во всплывающем окне Глобальные параметры нажмите кнопку Сохранить.

    Параметры безопасных документов после выбора глобальных параметров на странице Безопасные вложения

Настройка безопасных документов с помощью PowerShell Exchange Online

Если вы предпочитаете использовать PowerShell для настройки безопасных документов, используйте следующий синтаксис в Exchange Online PowerShell:

Set-AtpPolicyForO365 -EnableSafeDocs <$true | $false> -AllowSafeDocsOpen <$true | $false>
  • Параметр EnableSafeDocs включает или отключает безопасные документы для всей организации.
  • Параметр AllowSafeDocsOpen разрешает или запрещает пользователям покидать защищенное представление (то есть открывать документ), если документ определен как вредоносный.

В этом примере показано, как включить безопасные документы для всей организации и запретить пользователям открывать документы, идентифицированные как вредоносные в защищенном представлении.

Set-AtpPolicyForO365 -EnableSafeDocs $true -AllowSafeDocsOpen $false

Подробные сведения о синтаксисе и параметрах см. в разделе Set-AtpPolicyForO365.

Настройка индивидуального доступа к безопасным документам

Если вы хотите выборочно разрешить или заблокировать доступ к функции "Безопасные документы", выполните следующие действия.

  1. Включите безопасные документы на портале Microsoft Defender (как описано на портале Microsoft Defender для настройки безопасных документов) или Exchange Online PowerShell (как описано в разделе "Использование Exchange Online PowerShell для настройки безопасных документов").
  2. Используйте Microsoft Graph PowerShell, чтобы отключить безопасные документы для определенных пользователей, как описано в разделе Отключение определенных служб Microsoft 365 для определенных пользователей для определенного плана лицензирования.

Имя плана обслуживания, который необходимо отключить в PowerShell, — SAFEDOCS.

Дополнительные сведения см. в следующих статьях:

Подключение к службе Microsoft Defender для конечной точки для включения возможностей аудита

Чтобы включить возможности аудита, на локальном устройстве необходимо установить Microsoft Defender для конечной точки. Чтобы развернуть Microsoft Defender для конечной точки, необходимо пройти различные этапы развертывания. После подключения можно настроить возможности аудита на портале Microsoft Defender.

Дополнительные сведения см. в статье Подключение к службе Microsoft Defender для конечной точки. Если вам нужна помощь, см. статью Устранение неполадок при внедрении Microsoft Defender для конечной точки.

Разделы справки знаете, что эта процедура сработала?

Чтобы убедиться, что вы успешно включили и настроили безопасные документы, выполните одно из следующих действий:

  • На портале Microsoft Defender перейдите на страницу Безопасные вложения по адресу https://security.microsoft.com/safeattachmentv2, выберите Глобальные параметры и проверьте параметр Включить безопасные документы для клиентов Office и Разрешить пользователям щелкать защищенный просмотр, даже если безопасные документы идентифицируют файл как вредоносные параметры.

  • Выполните следующую команду в Exchange Online PowerShell и проверьте значения свойств:

    Get-AtpPolicyForO365 | Format-List *SafeDocs*
    
  • Для проверки защиты безопасных документов доступны следующие файлы. Эти файлы похожи на файл EICAR.TXT для тестирования решений для защиты от вредоносных программ и вирусов. Файлы не являются вредными, но они активируют защиту безопасных документов.