SharePoint、OneDrive、Microsoft Teams 用の ATP を有効にする

• 適用対象:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

ヒント

Microsoft Defender for Office 365プラン2の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。

Microsoft Defender for Office 365を持つ組織では、SharePoint、OneDrive、Microsoft Teams用のOffice 365の安全な添付ファイルによって、悪意のあるファイルが誤って共有されないようにorganizationが保護されます。 詳細については、「SharePoint、OneDrive、Microsoft Teams の安全な添付ファイル」を参照してください。

SharePoint、OneDrive、Microsoft TeamsのOffice 365の安全な添付ファイルをオンまたはオフにするには、Microsoft Defender ポータルまたは powerShell Exchange Onlineします。

はじめに把握しておくべき情報

• 「https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [安全な添付ファイル] ページに直接移動するには、https://security.microsoft.com/safeattachmentv2 を使用します。

• Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。

• この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。

  • Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションがEmail &場合>Defender for Office 365アクセス許可はアクティブです。PowerShell ではなく Defender ポータルにのみ影響します。

    • SharePoint、OneDrive、Microsoft Teamsの安全な添付ファイル: 承認と設定/セキュリティ設定/コア セキュリティ設定 (管理)を有効にします。

  • Microsoft Defender ポータルでコラボレーションのアクセス許可をEmail &します。

    • SharePoint、OneDrive、Microsoft Teamsの安全な添付ファイル: 組織の管理 または セキュリティ管理者 の役割グループのメンバーシップを有効にします。

  • Microsoft Entraアクセス許可: 次のロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可を提供します。

    • SharePoint、OneDrive、Microsoft Teams: グローバル管理者^* 、または セキュリティ管理者の安全な添付ファイルを有効にします。
    • SharePoint Online PowerShell を使用して、ユーザーが悪意のあるファイル (グローバル管理者^*SharePoint 管理者) をダウンロードできないようにします。

    重要

    ^* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

• organizationに対して監査ログが有効になっていることを確認します (既定ではオンになっています)。 手順については、「 監査のオンとオフを切り替える」を参照してください。

• 設定を有効にするには、最大 30 分かかります。

手順 1: Microsoft Defender ポータルを使用して、SharePoint、OneDrive、およびMicrosoft Teamsの安全な添付ファイルを有効にする

1. https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー] セクションの [ポリシー & ルール>[ポリシー>安全な添付ファイル] に移動します。 [安全な添付ファイル] ページに直接移動するには、https://security.microsoft.com/safeattachmentv2 を使用します。

2. [ 安全な添付ファイル] ページで、[ グローバル設定] を選択します。

3. 開いた [グローバル設定 ] ポップアップ で、[SharePoint、OneDrive、Microsoft Teams でファイルを保護 する] セクションに移動します。

   [SharePoint、OneDrive、Microsoft TeamsのDefender for Office 365を有効にする] トグルを右のに移動して、SharePoint、OneDrive、およびMicrosoft Teamsの安全な添付ファイルを有効にします。

   [グローバル設定] ポップアップが完了したら、[保存] を選択します。

PowerShell Exchange Online使用して、SharePoint、OneDrive、およびMicrosoft Teamsの安全な添付ファイルを有効にする

PowerShell を使用して SharePoint、OneDrive、Microsoft Teamsの安全な添付ファイルを有効にする場合は、PowerShell Exchange Onlineに接続し、次のコマンドを実行します。

Set-AtpPolicyForO365 -EnableATPForSPOTeamsODB $true

構文とパラメーターの詳細については、「 Set-AtpPolicyForO365」を参照してください。

手順 2: (推奨) SharePoint Online PowerShell を使用して、ユーザーが悪意のあるファイルをダウンロードできないようにする

既定では、ユーザーは SharePoint、OneDrive、Microsoft Teamsの安全な添付ファイルによって検出された悪意のあるファイル^* 開いたり、移動したり、コピーしたり、共有したりすることはできません。 ただし、悪意のあるファイルを削除してダウンロードすることはできます。

^* ユーザーが [アクセスの管理] に移動した場合、[ 共有 ] オプションは引き続き使用できます。

ユーザーが悪意のあるファイルをダウンロードできないようにするには、 SharePoint Online PowerShell に接続 し、次のコマンドを実行します。

Set-SPOTenant -DisallowInfectedFileDownload $true

注:

• この設定は、ユーザーと管理者の両方に影響します。
• Peopleでも悪意のあるファイルを削除できます。

構文とパラメーターの詳細については、「 Set-SPOTenant」を参照してください。

手順 3 (推奨) Microsoft Defender ポータルを使用して、検出されたファイルのアラート ポリシーを作成する

SharePoint、OneDrive、Microsoft Teamsの安全な添付ファイルが悪意のあるファイルを検出したときに管理者に通知するアラート ポリシーを作成できます。 アラート ポリシーの詳細については、Microsoft Defender ポータルのアラート ポリシーに関するページを参照してください。

1. https://security.microsoft.comのMicrosoft Defender ポータルで、[ポリシー & ルール>Alert ポリシー] に移動します。 [通知ポリシー] ページに直接移動するには、https://security.microsoft.com/alertpolicies を使用します。

2. [ アラート ポリシー ] ページで、[ 新しいアラート ポリシー ] を選択して、新しいアラート ポリシー ウィザードを開始します。

3. [ アラートに名前を付け、分類して重大度] ページを選択し 、次の設定を構成します。

   • [名前]: 一意でわかりやすい名前を入力します。 たとえば、 ライブラリ内の悪意のあるファイルなどです。
   • 説明: 省略可能な説明を入力します。 たとえば、 SharePoint Online、OneDrive、またはMicrosoft Teamsで悪意のあるファイルが検出されたときに管理者に通知します。
   • 重大度: ドロップダウン リストから [ 低]、[ 中]、または [高 ] を選択します。
   • カテゴリ: ドロップダウン リストから [ 脅威の管理 ] を選択します。

   [ アラートに名前を付け、分類し、重大度] ページを選択 したら、[ 次へ] を選択します。

4. [ アクティビティ、条件、およびアラートをトリガーするタイミングの選択] ページで、次の設定を構成します。

   • アラート の対象セクション >Activity is>Common user activities section > ドロップダウン リストから [ファイル内のマルウェアが検出されました ] を選択します。
   • アラートをトリガーする方法 セクション: アクティビティがルールに一致するたびにを選択します。

   [ アクティビティ、条件の選択]、[アラートをトリガーするタイミング ] ページが完了したら、[ 次へ] を選択します。

5. [ このアラートがトリガーされたときにユーザーに通知するかどうかを決定する ] ページで、次の設定を構成します。

   • [電子メール通知のオプトイン] が選択されていることを確認します。 [Email受信者] ボックスで、悪意のあるファイルが検出されたときに通知を受け取る 1 人以上の管理者を選択します。
   • 毎日の通知の制限: 既定値は [制限なし ] を選択したままにします。

   [ このアラートがトリガーされたときにユーザーに通知するかどうかを決定する ] ページが完了したら、[ 次へ] を選択します。

6. [設定の確認] ページ で、設定 を確認します。 各セクションで [編集] を選択して、そのセクション内の設定を変更することができます。 または、ウィザードで [ 戻る ] または特定のページを選択できます。

   [ ポリシーをすぐに有効にしますか? ] セクションで、[ はい、すぐに有効にする] を選択します。

   [ 設定の確認 ] ページが完了したら、[送信] を選択 します。

7. このページでは、読み取り専用モードでアラート ポリシーを確認できます。

   完了したら、[完了] を選択 します。

   [アラート ポリシー] ページに戻ると、新しいポリシーが一覧表示されます。

セキュリティ & コンプライアンス PowerShell を使用して、検出されたファイルのアラート ポリシーを作成する

PowerShell を使用して前のセクションで説明したように同じアラート ポリシーを作成する場合は、 Security & Compliance PowerShell に接続 し、次のコマンドを実行します。

New-ActivityAlert -Name "Malicious Files in Libraries" -Description "Notifies admins when malicious files are detected in SharePoint Online, OneDrive, or Microsoft Teams" -Category ThreatManagement -Operation FileMalwareDetected -NotifyUser "admin1@contoso.com","admin2@contoso.com"

注: 既定の [重大度] の値は [低] です。 [中] または [高] を指定するには、コマンドに Severity パラメーターと値を含めます。

構文とパラメーターの詳細については、「 New-ActivityAlert」を参照してください。

正常な動作を確認する方法

• SharePoint、OneDrive、Microsoft Teamsの安全な添付ファイルが正常に有効になっていることを確認するには、次のいずれかの手順を使用します。

  • Microsoft Defender ポータルで、[ポリシー & ルール>[ポリシー>ポリシー] セクション> [添付ファイルのセキュリティ] セクションに移動し、[グローバル設定] を選択し、[SharePoint、OneDrive、および Microsoft Teams のDefender for Office 365を有効にする] 設定の値を確認します。

  • PowerShell Exchange Onlineで、次のコマンドを実行してプロパティ設定を確認します。

    Get-AtpPolicyForO365 | Format-List EnableATPForSPOTeamsODB
    

    構文とパラメーターの詳細については、「 Get-AtpPolicyForO365」を参照してください。

• 悪意のあるファイルのダウンロードが正常にブロックされたことを確認するには、SharePoint Online PowerShell を開き、次のコマンドを実行してプロパティの値を確認します。

  Get-SPOTenant | Format-List DisallowInfectedFileDownload
  

  構文とパラメーターの詳細については、「 Get-SPOTenant」を参照してください。

• 検出されたファイルのアラート ポリシーが正常に構成されたことを確認するには、次のいずれかの方法を使用します。

  • https://security.microsoft.com/alertpoliciesのMicrosoft Defender ポータルで、アラート ポリシーを選択し、設定を確認します。

  • セキュリティ & コンプライアンス PowerShell で、 <AlertPolicyName> をアラート ポリシーの名前に置き換え、次のコマンドを実行し、プロパティ値を確認します。

    Get-ActivityAlert -Identity "<AlertPolicyName>"
    

    構文とパラメーターの詳細については、「 Get-ActivityAlert」を参照してください。

• 脅威保護の状態レポートを使用して、SharePoint、OneDrive、およびMicrosoft Teamsで検出されたファイルに関する情報を表示します。 具体的には、[ データの表示方法: コンテンツ] > [マルウェア ] ビューを使用できます。