Включение безопасных вложений для SharePoint, OneDrive и Microsoft Teams
Совет
Знаете ли вы, что можете бесплатно опробовать функции XDR в Microsoft Defender для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.
В организациях с Microsoft Defender для Office 365 безопасные вложения для Office 365 для SharePoint, OneDrive и Microsoft Teams защищают вашу организацию от случайного совместного использования вредоносных файлов. Дополнительные сведения см. в статье Безопасные вложения для SharePoint, OneDrive и Microsoft Teams.
Вы включаете или отключаете безопасные вложения для Office 365 для SharePoint, OneDrive и Microsoft Teams на портале Microsoft Defender или в Exchange Online PowerShell.
Что нужно знать перед началом работы
Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Безопасные вложения, используйте .https://security.microsoft.com/safeattachmentv2
Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.
Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:
Единое управление доступом на основе ролей (RBAC) в Microsoft Defender XDR (если активны разрешения Microsoft Defender & совместной работы>Defender для Office 365. Влияет только на портал Defender, а не На PowerShell:
- Включите безопасные вложения для SharePoint, OneDrive и Microsoft Teams: авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление).
Электронная почта & разрешения на совместную работу на портале Microsoft Defender:
- Включите безопасные вложения для SharePoint, OneDrive и Microsoft Teams: членство в группах ролей "Управление организацией " или "Администратор безопасности ".
Разрешения Microsoft Entra. Членство в следующих ролях предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.
- Включите параметр Безопасные вложения для SharePoint, OneDrive и Microsoft Teams: глобальный администратор* или администратор безопасности.
- Используйте SharePoint Online PowerShell, чтобы запретить пользователям загружать вредоносные файлы: глобальный администратор* или администратор SharePoint.
Важно!
* Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.
Убедитесь, что ведение журнала аудита включено для вашей организации (оно включено по умолчанию). Инструкции см. в разделе Включение и отключение аудита.
До 30 минут до того, как параметры вступают в силу.
Шаг 1. Включение безопасных вложений для SharePoint, OneDrive и Microsoft Teams с помощью портала Microsoft Defender
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угрозБезопасные вложения в разделе Политики. Или, чтобы перейти непосредственно на страницу Безопасные вложения , используйте https://security.microsoft.com/safeattachmentv2.
На странице Безопасные вложения выберите Глобальные параметры.
Во всплывающем окне Глобальные параметры перейдите к разделу Защита файлов в SharePoint, OneDrive и Microsoft Teams .
Переместите переключатель Включить Defender для Office 365 для SharePoint, OneDrive и Microsoft Teams вправо , чтобы включить безопасные вложения для SharePoint, OneDrive и Microsoft Teams.
По завершении во всплывающем окне Глобальные параметры нажмите кнопку Сохранить.
Включение безопасных вложений для SharePoint, OneDrive и Microsoft Teams с помощью Exchange Online PowerShell
Если вы предпочитаете использовать PowerShell для включения безопасных вложений для SharePoint, OneDrive и Microsoft Teams, подключитесь к Exchange Online PowerShell и выполните следующую команду:
Set-AtpPolicyForO365 -EnableATPForSPOTeamsODB $true
Подробные сведения о синтаксисе и параметрах см. в разделе Set-AtpPolicyForO365.
Шаг 2. (Рекомендуется) Использовать SharePoint Online PowerShell, чтобы предотвратить скачивание пользователями вредоносных файлов
По умолчанию пользователи не могут открывать, перемещать, копировать или совместно использовать* вредоносные файлы, обнаруженные безопасными вложениями для SharePoint, OneDrive и Microsoft Teams. Однако они могут удалять и скачивать вредоносные файлы.
* Если пользователи переходят в раздел Управление доступом, параметр Поделиться по-прежнему доступен.
Чтобы предотвратить загрузку вредоносных файлов пользователями, подключитесь к SharePoint Online PowerShell и выполните следующую команду:
Set-SPOTenant -DisallowInfectedFileDownload $true
Примечания.
- Этот параметр влияет как на пользователей, так и на администраторов.
- Пользователи по-прежнему могут удалять вредоносные файлы.
Подробные сведения о синтаксисе и параметрах см. в разделе Set-SPOTenant.
Шаг 3 (рекомендуется) Создание политики оповещений для обнаруженных файлов с помощью портала Microsoft Defender
Вы можете создать политику оповещений, которая уведомляет администраторов о том, что безопасные вложения для SharePoint, OneDrive и Microsoft Teams обнаруживают вредоносный файл. Дополнительные сведения о политиках оповещений см. в статье Политики оповещений на портале Microsoft Defender.
На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Политики & правилаПолитика генерации оповещений>. Чтобы сразу перейти на страницу Политика оповещений, воспользуйтесь ссылкой https://security.microsoft.com/alertpolicies.
На странице Политика оповещений выберите Создать политику оповещений , чтобы запустить мастер создания политики оповещений.
На странице Имя оповещения, классифицируйте его и выберите серьезность , настройте следующие параметры:
- Имя: введите уникальное описательное имя. Например, вредоносные файлы в библиотеках.
- Описание. Введите необязательное описание. Например, уведомляет администраторов об обнаружении вредоносных файлов в SharePoint Online, OneDrive или Microsoft Teams.
- Серьезность: выберите Низкий, Средний или Высокий в раскрывающемся списке.
- Категория. Выберите Управление угрозами в раскрывающемся списке.
Завершив работу с полем Имя оповещения, классифицируйте его и выберите страницу серьезности и нажмите кнопку Далее.
На странице Выбор действия, условия и время активации оповещения настройте следующие параметры:
- О чем вы хотите оповещать? Раздел >Действие — это>общие действия пользователей , раздел > Выберите обнаруженную вредоносную программу в файле из раскрывающегося списка.
- Как нужно активировать оповещение? section: выберите Каждый раз, когда действие соответствует правилу.
Завершив работу на странице Выбор действия, условия и время активации оповещения , нажмите кнопку Далее.
На странице Решите, хотите ли вы уведомлять пользователей о активации этого оповещения , настройте следующие параметры:
- Убедитесь , что выбрано согласие на отправку уведомлений по электронной почте . В поле Получатели электронной почты выберите одного или нескольких администраторов, которые должны получать уведомления при обнаружении вредоносного файла.
- Ежедневное ограничение на уведомления. Оставьте значение по умолчанию Без ограничения .
Завершив работу на странице Решите, хотите ли вы уведомлять людей о активации этого оповещения , нажмите кнопку Далее.
На странице Проверка параметров проверьте параметры. Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете выбрать Назад или конкретную страницу в мастере.
В разделе Включить политику сразу же выберитеДа, включите ее сразу.
По завершении на странице Просмотр параметров нажмите кнопку Отправить.
На этой странице можно просмотреть политику оповещений в режиме только для чтения.
По завершении нажмите кнопку Готово.
На странице Политика оповещений отобразится новая политика.
Создание политики оповещений для обнаруженных файлов с помощью PowerShell соответствия требованиям безопасности &
Если вы предпочитаете использовать PowerShell для создания той же политики генерации оповещений, как описано в предыдущем разделе, подключитесь к PowerShell по обеспечению безопасности & соответствия требованиям и выполните следующую команду:
New-ActivityAlert -Name "Malicious Files in Libraries" -Description "Notifies admins when malicious files are detected in SharePoint Online, OneDrive, or Microsoft Teams" -Category ThreatManagement -Operation FileMalwareDetected -NotifyUser "[email protected]","[email protected]"
Примечание. Значение серьезности по умолчанию — Низкий. Чтобы указать средний или высокий, добавьте параметр Серьезность и значение в команду .
Подробные сведения о синтаксисе и параметрах см. в разделе New-ActivityAlert.
Как проверить, что эти процедуры выполнены?
Чтобы убедиться, что вы успешно включили безопасные вложения для SharePoint, OneDrive и Microsoft Teams, выполните одно из следующих действий.
На портале Microsoft Defender перейдите в раздел Политики & правила> Политикиугроз>Политики>безопасных вложений, выберите Глобальные параметры и проверьте значение параметра Включить Defender для Office 365 для SharePoint, OneDrive и Microsoft Teams.
В Exchange Online PowerShell выполните следующую команду, чтобы проверить параметр свойства:
Get-AtpPolicyForO365 | Format-List EnableATPForSPOTeamsODB
Подробные сведения о синтаксисе и параметрах см. в разделе Get-AtpPolicyForO365.
Чтобы убедиться, что вы успешно заблокировали загрузку вредоносных файлов, откройте SharePoint Online PowerShell и выполните следующую команду, чтобы проверить значение свойства:
Get-SPOTenant | Format-List DisallowInfectedFileDownload
Подробные сведения о синтаксисе и параметрах см. в разделе Get-SPOTenant.
Чтобы убедиться, что вы успешно настроили политику оповещений для обнаруженных файлов, используйте один из следующих методов:
На портале Microsoft Defender выберите https://security.microsoft.com/alertpoliciesполитику оповещений и проверьте параметры.
В разделе Безопасность & соответствия PowerShell замените <AlertPolicyName> именем политики оповещений, выполните следующую команду и проверьте значения свойств:
Get-ActivityAlert -Identity "<AlertPolicyName>"
Подробные сведения о синтаксисе и параметрах см. в разделе Get-ActivityAlert.
Используйте отчет о состоянии защиты от угроз , чтобы просмотреть сведения об обнаруженных файлах в SharePoint, OneDrive и Microsoft Teams. В частности, можно использовать представление Просмотр данных по содержимому > вредоносных программ .