Bezpečné dokumenty v zabezpečení Microsoft 365 A5 nebo E5
Tip
Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.
Bezpečné dokumenty jsou prémiová funkce, která používá cloudový back-end Microsoft Defender for Endpoint ke skenování otevřených dokumentů Office v chráněném zobrazení nebo Ochrana Application Guard pro Office.
Uživatelé nemusí mít na místních zařízeních nainstalovaný Defender for Endpoint, aby získali ochranu bezpečných dokumentů. Uživatelé získají ochranu bezpečných dokumentů, pokud jsou splněny všechny následující požadavky:
Bezpečné dokumenty jsou v organizaci povolené, jak je popsáno v tomto článku.
Licence z požadovaného licenčního plánu se přiřazují uživatelům. Bezpečné dokumenty se řídí plánem služby Office 365 SafeDocs (nebo SAFEDOCS nebo bf6f5520-59e3-4f82-974b-7dbbc4fd27c7) (označovaným také jako služba). Tento plán služby je k dispozici v následujících licenčních plánech (označovaných také jako licenční plány, plány Microsoftu 365 nebo produkty):
- Microsoft 365 A5 pro zaměstnance školy
- Microsoft 365 A5 pro studenty
- Microsoft 365 E5 Security
Bezpečné dokumenty nejsou součástí licenčních plánů Microsoft Defender pro Office 365.
Další informace najdete v tématu Názvy produktů a identifikátory plánů služeb pro licencování.
Používají Microsoft 365 Apps pro velké organizace (dříve označovanou jako Office 365 ProPlus) verze 2004 nebo novější.
Co potřebujete vědět, než začnete?
Portál Microsoft Defender otevřete na adrese https://security.microsoft.com. Pokud chcete přejít přímo na stránku Bezpečné přílohy , použijte https://security.microsoft.com/safeattachmentv2.
Pokud se chcete připojit k Exchange Online PowerShellu, přečtěte si téma Připojení k Exchange Online PowerShellu.
Abyste mohli provádět postupy v tomto článku, musíte mít přiřazená oprávnění. Budete mít také následující možnosti:
Microsoft Defender XDR Jednotné řízení přístupu na základě role (RBAC) (Pokud Email & spolupráce>Defender pro Office 365 oprávnění jsou aktivní. Ovlivňuje jenom portál Defender, ne PowerShell: Autorizace a nastavení / Nastavení zabezpečení / Základní nastavení zabezpečení (správa) nebo Autorizace a nastavení / Nastavení zabezpečení / Základní nastavení zabezpečení (čtení).
-
- Konfigurace nastavení bezpečných dokumentů: Členství ve skupinách rolí Správa organizace nebo Správce zabezpečení .
- Přístup k nastavení Bezpečných dokumentů jen pro čtení: Členství ve skupinách rolí Globální čtenář, Čtenář zabezpečení nebo Správa organizace jen pro zobrazení .
Microsoft Entra oprávnění: Členství v rolích globálního správce*, správce zabezpečení, globálního čtenáře nebo čtenáře zabezpečení poskytuje uživatelům požadovaná oprávnění a oprávnění pro další funkce v Microsoftu 365.
Důležité
* Microsoft doporučuje používat role s nejmenším oprávněním. Používání účtů s nižším oprávněním pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.
Jak Microsoft zpracovává vaše data?
Bezpečné dokumenty za účelem ochrany odesílají informace o souborech do Microsoft Defender for Endpoint cloudu k analýze. Podrobnosti o tom, jak Microsoft Defender for Endpoint nakládá s vašimi daty, najdete tady: Microsoft Defender for Endpoint ukládání dat a ochrana osobních údajů.
Informace o souborech odesílané bezpečnými dokumenty se v Defenderu for Endpoint neuchovávají po uplynutí doby potřebné k analýze (obvykle méně než 24 hodin).
Konfigurace bezpečných dokumentů pomocí portálu Microsoft Defender
Na portálu Microsoft Defender přejděte na stránku Bezpečné přílohy v části https://security.microsoft.comZásadyEmail & Zásady spolupráce>& Pravidla>Zásady> hrozebBezpečné přílohy. Pokud chcete přejít přímo na stránku Bezpečné přílohy , použijte https://security.microsoft.com/safeattachmentv2.
Na stránce Bezpečné přílohy vyberte Globální nastavení.
V informačním rámečku Globální nastavení , který se otevře, potvrďte nebo nakonfigurujte následující nastavení:
- Zapnutí funkce Bezpečné dokumenty pro klienty Office: Přesunutím přepínače doprava zapněte funkci : .
- Povolit uživatelům klikání na chráněné zobrazení, i když bezpečné dokumenty identifikovaly soubor jako škodlivý: Doporučujeme nechat tuto možnost vypnutou .
Až skončíte v informačním rámečku Globální nastavení , vyberte Uložit.
Konfigurace bezpečných dokumentů pomocí Exchange Online PowerShellu
Pokud chcete ke konfiguraci bezpečných dokumentů raději použít PowerShell, použijte v Exchange Online PowerShellu následující syntaxi:
Set-AtpPolicyForO365 -EnableSafeDocs <$true | $false> -AllowSafeDocsOpen <$true | $false>
- Parametr EnableSafeDocs povolí nebo zakáže bezpečné dokumenty pro celou organizaci.
- Parametr AllowSafeDocsOpen umožňuje nebo zabraňuje uživatelům opustit chráněné zobrazení (tj. otevřít dokument), pokud byl dokument identifikován jako škodlivý.
Tento příklad povolí bezpečné dokumenty pro celou organizaci a zabrání uživatelům v otevírání dokumentů, které byly identifikovány jako škodlivé z chráněného zobrazení.
Set-AtpPolicyForO365 -EnableSafeDocs $true -AllowSafeDocsOpen $false
Podrobné informace o syntaxi a parametrech najdete v tématu Set-AtpPolicyForO365.
Konfigurace individuálního přístupu k bezpečným dokumentům
Pokud chcete selektivně povolit nebo zablokovat přístup k funkci Bezpečné dokumenty, postupujte takto:
- Zapněte Bezpečné dokumenty na portálu Microsoft Defender nebo Exchange Online PowerShellu, jak je popsáno dříve v tomto článku.
- Pomocí Prostředí Microsoft Graph PowerShell zakažte bezpečné dokumenty pro konkrétní uživatele, jak je popsáno v tématu Zakázání konkrétních služeb Microsoft 365 pro konkrétní uživatele pro konkrétní licenční plán.
Název plánu služby, který se má v PowerShellu zakázat, je SAFEDOCS.
Další informace najdete v následujících článcích:
- Zobrazení licencí a služeb Microsoftu 365 pomocí PowerShellu
- Zobrazení podrobností o licenci a službě účtu Microsoft 365 pomocí PowerShellu
- Názvy produktů a identifikátory plánů služeb pro licencování
Připojte se ke službě Microsoft Defender for Endpoint a povolte možnosti auditování.
Aby bylo možné povolit možnosti auditování, musí mít místní zařízení nainstalované Microsoft Defender for Endpoint. Pokud chcete nasadit Microsoft Defender for Endpoint, musíte projít různými fázemi nasazení. Po onboardingu můžete nakonfigurovat možnosti auditování na portálu Microsoft Defender.
Další informace najdete v tématu Připojení ke službě Microsoft Defender for Endpoint. Pokud potřebujete pomoc, přečtěte si téma Řešení potíží s onboardingem Microsoft Defender for Endpoint.
Návody víte, že tento postup fungoval?
Pokud chcete ověřit, že jste povolili a nakonfigurovali bezpečné dokumenty, proveďte některý z následujících kroků:
Na portálu Microsoft Defender přejděte na stránku Bezpečné přílohy na adrese https://security.microsoft.com/safeattachmentv2, vyberte Globální nastavení a ověřte zapnout bezpečné dokumenty pro klienty Office a Povolit uživatelům kliknout na chráněné zobrazení i v případě, že bezpečné dokumenty identifikují soubor jako škodlivé nastavení.
V Exchange Online PowerShellu spusťte následující příkaz a ověřte hodnoty vlastností:
Get-AtpPolicyForO365 | Format-List *SafeDocs*
Pro testování ochrany bezpečných dokumentů jsou k dispozici následující soubory. Tyto soubory se podobají souboru EICAR.TXT pro testování antimalwarových a antivirových řešení. Soubory nejsou škodlivé, ale aktivují ochranu bezpečných dokumentů.