SharePoint、OneDrive、Microsoft Teams 用の ATP を有効にする
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 こちらからサインアップできるユーザーと試用版の使用条件の詳細について参照してください。
Microsoft Defender for Office 365 を使用する組織では、Office 365 for SharePoint、OneDrive、および Microsoft Teams 用の安全な添付ファイルによって、悪意のあるファイルが誤って共有されるのを防ぎます。 詳細については、「SharePoint、OneDrive、Microsoft Teams の安全な添付ファイル」を参照してください。
Microsoft Defender ポータルまたは Exchange Online PowerShell で、Office 365 for SharePoint、OneDrive、Microsoft Teamsの安全な添付ファイルをオンまたはオフにします。
はじめに把握しておくべき情報
「https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [安全な添付ファイル] ページに直接移動するには、https://security.microsoft.com/safeattachmentv2 を使用します。
Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。
この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。
Microsoft Defender XDR 統合ロールベースのアクセス制御 (RBAC) (電子メール & コラボレーションの場合>Office 365 の既定のアクセス許可はアクティブです。PowerShell ではなく Defender ポータルにのみ影響します。
- SharePoint、OneDrive、Microsoft Teamsの安全な添付ファイル: 承認と設定/セキュリティ設定/コア セキュリティ設定 (管理)を有効にします。
Microsoft Defender ポータル & コラボレーションのアクセス許可を電子メールで送信します。
- SharePoint、OneDrive、Microsoft Teamsの安全な添付ファイル: 組織の管理 または セキュリティ管理者 の役割グループのメンバーシップを有効にします。
Microsoft Entra のアクセス許可: 次のロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可 と アクセス許可を提供します。
- SharePoint、OneDrive、Microsoft Teams: グローバル管理者* 、または セキュリティ管理者の安全な添付ファイルを有効にします。
- SharePoint Online PowerShell を使用して、ユーザーが悪意のあるファイル (グローバル管理者*SharePoint 管理者) をダウンロードできないようにします。
重要
* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。
組織で監査ログが有効になっていることを確認します (既定ではオンになっています)。 手順については、「 監査のオンとオフを切り替える」を参照してください。
設定を有効にするには、最大 30 分かかります。
手順 1: Microsoft Defender ポータルを使用して、SharePoint、OneDrive、およびMicrosoft Teamsの安全な添付ファイルを有効にする
https://security.microsoft.comの Microsoft Defender ポータルで、[ポリシー] セクションの [ポリシー & ルール>[ポリシー>安全な添付ファイル] に移動します。 [安全な添付ファイル] ページに直接移動するには、https://security.microsoft.com/safeattachmentv2 を使用します。
[ 安全な添付ファイル] ページで、[ グローバル設定] を選択します。
開いた [グローバル設定 ] ポップアップ で、[SharePoint、OneDrive、Microsoft Teams でファイルを保護 する] セクションに移動します。
[ SharePoint、OneDrive、および Microsoft Teams Defender for Office 365 を有効にする ] トグルを右の に移動して、SharePoint、OneDrive、およびMicrosoft Teamsの安全な添付ファイルを有効にします。
[グローバル設定] ポップアップが完了したら、[保存] を選択します。
Exchange Online PowerShell を使用して SharePoint、OneDrive、Microsoft Teamsの安全な添付ファイルを有効にする
PowerShell を使用して SharePoint、OneDrive、Microsoft Teamsの安全な添付ファイルを有効にする場合 は、Exchange Online PowerShell に接続し 、次のコマンドを実行します。
Set-AtpPolicyForO365 -EnableATPForSPOTeamsODB $true
構文とパラメーターの詳細については、「 Set-AtpPolicyForO365」を参照してください。
手順 2: (推奨) SharePoint Online PowerShell を使用して、ユーザーが悪意のあるファイルをダウンロードできないようにする
既定では、ユーザーは SharePoint、OneDrive、Microsoft Teamsの安全な添付ファイルによって検出された悪意のあるファイル* 開いたり、移動したり、コピーしたり、共有したりすることはできません。 ただし、悪意のあるファイルを削除してダウンロードすることはできます。
* ユーザーが [アクセスの管理] に移動した場合、[ 共有 ] オプションは引き続き使用できます。
ユーザーが悪意のあるファイルをダウンロードできないようにするには、 SharePoint Online PowerShell に接続 し、次のコマンドを実行します。
Set-SPOTenant -DisallowInfectedFileDownload $true
注:
- この設定は、ユーザーと管理者の両方に影響します。
- 悪意のあるファイルは引き続き削除できます。
構文とパラメーターの詳細については、「 Set-SPOTenant」を参照してください。
手順 3 (推奨) Microsoft Defender ポータルを使用して、検出されたファイルのアラート ポリシーを作成する
SharePoint、OneDrive、Microsoft Teamsの安全な添付ファイルが悪意のあるファイルを検出したときに管理者に通知するアラート ポリシーを作成できます。 アラート ポリシーの詳細については、 Microsoft Defender ポータルのアラート ポリシーに関するページを参照してください。
https://security.microsoft.comの Microsoft Defender ポータルで、[ポリシー & ルール>Alert ポリシー] に移動します。 [通知ポリシー] ページに直接移動するには、https://security.microsoft.com/alertpolicies を使用します。
[ アラート ポリシー ] ページで、[ 新しいアラート ポリシー ] を選択して、新しいアラート ポリシー ウィザードを開始します。
[ アラートに名前を付け、分類して重大度] ページを選択し 、次の設定を構成します。
- [名前]: 一意でわかりやすい名前を入力します。 たとえば、 ライブラリ内の悪意のあるファイルなどです。
- 説明: 省略可能な説明を入力します。 たとえば、 SharePoint Online、OneDrive、またはMicrosoft Teamsで悪意のあるファイルが検出されたときに管理者に通知します。
- 重大度: ドロップダウン リストから [ 低]、[ 中]、または [高 ] を選択します。
- カテゴリ: ドロップダウン リストから [ 脅威の管理 ] を選択します。
[ アラートに名前を付け、分類し、重大度] ページを選択 したら、[ 次へ] を選択します。
[ アクティビティ、条件、およびアラートをトリガーするタイミングの選択] ページで、次の設定を構成します。
- アラート の対象セクション >Activity is>Common user activities section > ドロップダウン リストから [ファイル内のマルウェアが検出されました ] を選択します。
- アラートをトリガーする方法 セクション: アクティビティがルールに一致するたびにを選択します。
[ アクティビティ、条件の選択]、[アラートをトリガーするタイミング ] ページが完了したら、[ 次へ] を選択します。
[ このアラートがトリガーされたときにユーザーに通知するかどうかを決定する ] ページで、次の設定を構成します。
- [電子メール通知のオプトイン] が選択されていることを確認します。 [ メール受信者 ] ボックスで、悪意のあるファイルが検出されたときに通知を受け取る管理者を 1 人以上選択します。
- 毎日の通知の制限: 既定値は [制限なし ] を選択したままにします。
[ このアラートがトリガーされたときにユーザーに通知するかどうかを決定する ] ページが完了したら、[ 次へ] を選択します。
[設定の確認] ページ で、設定 を確認します。 各セクションで [編集] を選択して、そのセクション内の設定を変更することができます。 または、ウィザードで [ 戻る ] または特定のページを選択できます。
[ ポリシーをすぐに有効にしますか? ] セクションで、[ はい、すぐに有効にする] を選択します。
[ 設定の確認 ] ページが完了したら、[送信] を選択 します。
このページでは、読み取り専用モードでアラート ポリシーを確認できます。
完了したら、[完了] を選択 します。
[アラート ポリシー] ページに戻ると、新しいポリシーが一覧表示されます。
セキュリティ & コンプライアンス PowerShell を使用して、検出されたファイルのアラート ポリシーを作成する
PowerShell を使用して前のセクションで説明したように同じアラート ポリシーを作成する場合は、 Security & Compliance PowerShell に接続 し、次のコマンドを実行します。
New-ActivityAlert -Name "Malicious Files in Libraries" -Description "Notifies admins when malicious files are detected in SharePoint Online, OneDrive, or Microsoft Teams" -Category ThreatManagement -Operation FileMalwareDetected -NotifyUser "admin1@contoso.com","admin2@contoso.com"
注: 既定の [重大度] の値は [低] です。 [中] または [高] を指定するには、コマンドに Severity パラメーターと値を含めます。
構文とパラメーターの詳細については、「 New-ActivityAlert」を参照してください。
正常な動作を確認する方法
SharePoint、OneDrive、Microsoft Teamsの安全な添付ファイルが正常に有効になっていることを確認するには、次のいずれかの手順を使用します。
Microsoft Defender ポータルで、[ポリシー] & ルール>[詳細なポリシー>ポリシー] セクション> [添付ファイルの安全] セクションに移動し、[グローバル設定] を選択し、[SharePoint、OneDrive、および Microsoft Teams の Defender for Office 365 を有効にする] 設定の値を確認します。
Exchange Online PowerShell で、次のコマンドを実行してプロパティ設定を確認します。
Get-AtpPolicyForO365 | Format-List EnableATPForSPOTeamsODB
構文とパラメーターの詳細については、「 Get-AtpPolicyForO365」を参照してください。
悪意のあるファイルのダウンロードが正常にブロックされたことを確認するには、SharePoint Online PowerShell を開き、次のコマンドを実行してプロパティの値を確認します。
Get-SPOTenant | Format-List DisallowInfectedFileDownload
構文とパラメーターの詳細については、「 Get-SPOTenant」を参照してください。
検出されたファイルのアラート ポリシーが正常に構成されたことを確認するには、次のいずれかの方法を使用します。
https://security.microsoft.com/alertpoliciesの Microsoft Defender ポータルで、アラート ポリシーを選択し、設定を確認します。
セキュリティ & コンプライアンス PowerShell で、 <AlertPolicyName> をアラート ポリシーの名前に置き換え、次のコマンドを実行し、プロパティ値を確認します。
Get-ActivityAlert -Identity "<AlertPolicyName>"
構文とパラメーターの詳細については、「 Get-ActivityAlert」を参照してください。
脅威保護の状態レポートを使用して、SharePoint、OneDrive、およびMicrosoft Teamsで検出されたファイルに関する情報を表示します。 具体的には、[ データの表示方法: コンテンツ] > [マルウェア ] ビューを使用できます。