Включение безопасных вложений для SharePoint, OneDrive и Microsoft Teams
Совет
Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
В организациях с Microsoft Defender для Office 365 безопасные вложения для Office 365 для SharePoint, OneDrive и Microsoft Teams защищают вашу организацию от случайного совместного использования вредоносных файлов. Дополнительные сведения см. в статье Безопасные вложения для SharePoint, OneDrive и Microsoft Teams.
Вы включаете или отключаете безопасные вложения для Office 365 для SharePoint, OneDrive и Microsoft Teams на портале Microsoft Defender или в Exchange Online PowerShell.
Что нужно знать перед началом работы
Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Безопасные вложения, используйте .https://security.microsoft.com/safeattachmentv2
Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.
Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:
Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (если Email & совместной работы>Defender для Office 365 разрешения активны. Влияет только на портал Defender, а не На PowerShell:
- Включите безопасные вложения для SharePoint, OneDrive и Microsoft Teams: авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление).
Email & разрешения на совместную работу на портале Microsoft Defender:
- Включите безопасные вложения для SharePoint, OneDrive и Microsoft Teams: членство в группах ролей "Управление организацией " или "Администратор безопасности ".
Microsoft Entra разрешений. Членство в следующих ролях предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.
- Включите параметр Безопасные вложения для SharePoint, OneDrive и Microsoft Teams: глобальный администратор* или администратор безопасности.
- Используйте SharePoint Online PowerShell, чтобы запретить пользователям загружать вредоносные файлы: глобальный администратор* или администратор SharePoint.
Важно!
* Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Убедитесь, что ведение журнала аудита включено для вашей организации (оно включено по умолчанию). Инструкции см. в разделе Включение и отключение аудита.
До 30 минут до того, как параметры вступают в силу.
Шаг 1. Включение безопасных вложений для SharePoint, OneDrive и Microsoft Teams с помощью портала Microsoft Defender
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угрозБезопасные вложения в разделе Политики. Или, чтобы перейти непосредственно на страницу Безопасные вложения , используйте https://security.microsoft.com/safeattachmentv2.
На странице Безопасные вложения выберите Глобальные параметры.
Во всплывающем окне Глобальные параметры перейдите к разделу Защита файлов в SharePoint, OneDrive и Microsoft Teams .
Переместите переключатель Включить Defender для Office 365 для SharePoint, OneDrive и Microsoft Teams вправо, чтобы включить безопасные вложения для SharePoint, OneDrive и Microsoft Teams.
По завершении во всплывающем окне Глобальные параметры нажмите кнопку Сохранить.
Включение безопасных вложений для SharePoint, OneDrive и Microsoft Teams с помощью Exchange Online PowerShell
Если вы предпочитаете использовать PowerShell для включения безопасных вложений для SharePoint, OneDrive и Microsoft Teams, подключитесь к Exchange Online PowerShell и выполните следующую команду:
Set-AtpPolicyForO365 -EnableATPForSPOTeamsODB $true
Подробные сведения о синтаксисе и параметрах см. в разделе Set-AtpPolicyForO365.
Шаг 2. (Рекомендуется) Использовать SharePoint Online PowerShell, чтобы предотвратить скачивание пользователями вредоносных файлов
По умолчанию пользователи не могут открывать, перемещать, копировать или совместно использовать* вредоносные файлы, обнаруженные безопасными вложениями для SharePoint, OneDrive и Microsoft Teams. Однако они могут удалять и скачивать вредоносные файлы.
* Если пользователи переходят в раздел Управление доступом, параметр Поделиться по-прежнему доступен.
Чтобы предотвратить загрузку вредоносных файлов пользователями, подключитесь к SharePoint Online PowerShell и выполните следующую команду:
Set-SPOTenant -DisallowInfectedFileDownload $true
Примечания.
- Этот параметр влияет как на пользователей, так и на администраторов.
- Люди по-прежнему могут удалять вредоносные файлы.
Подробные сведения о синтаксисе и параметрах см. в разделе Set-SPOTenant.
Шаг 3 (рекомендуется) Создание политики оповещений для обнаруженных файлов с помощью портала Microsoft Defender
Вы можете создать политику оповещений, которая уведомляет администраторов о том, что безопасные вложения для SharePoint, OneDrive и Microsoft Teams обнаруживают вредоносный файл. Дополнительные сведения о политиках оповещений см. в статье Политики оповещений на портале Microsoft Defender.
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политика оповещений. Чтобы сразу перейти на страницу Политика оповещений, воспользуйтесь ссылкой https://security.microsoft.com/alertpolicies.
На странице Политика оповещений выберите Создать политику оповещений , чтобы запустить мастер создания политики оповещений.
На странице Имя оповещения, классифицируйте его и выберите серьезность , настройте следующие параметры:
- Имя: введите уникальное описательное имя. Например, вредоносные файлы в библиотеках.
- Описание. Введите необязательное описание. Например, уведомляет администраторов об обнаружении вредоносных файлов в SharePoint Online, OneDrive или Microsoft Teams.
- Серьезность: выберите Низкий, Средний или Высокий в раскрывающемся списке.
- Категория. Выберите Управление угрозами в раскрывающемся списке.
Завершив работу с полем Имя оповещения, классифицируйте его и выберите страницу серьезности и нажмите кнопку Далее.
На странице Выбор действия, условия и время активации оповещения настройте следующие параметры:
- О чем вы хотите оповещать? Раздел >Действие — это>общие действия пользователей , раздел > Выберите обнаруженную вредоносную программу в файле из раскрывающегося списка.
- Как нужно активировать оповещение? section: выберите Каждый раз, когда действие соответствует правилу.
Завершив работу на странице Выбор действия, условия и время активации оповещения , нажмите кнопку Далее.
На странице Решите, хотите ли вы уведомлять пользователей о активации этого оповещения , настройте следующие параметры:
- Убедитесь, что выбрано согласие на Уведомления по электронной почте. В поле получателей Email выберите одного или нескольких администраторов, которые должны получать уведомления при обнаружении вредоносного файла.
- Ежедневное ограничение на уведомления. Оставьте значение по умолчанию Без ограничения .
Завершив работу на странице Решите, хотите ли вы уведомлять людей о активации этого оповещения , нажмите кнопку Далее.
На странице Проверка параметров проверьте параметры. Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете выбрать Назад или конкретную страницу в мастере.
В разделе Включить политику сразу же выберитеДа, включите ее сразу.
По завершении на странице Просмотр параметров нажмите кнопку Отправить.
На этой странице можно просмотреть политику оповещений в режиме только для чтения.
По завершении нажмите кнопку Готово.
На странице Политика оповещений отобразится новая политика.
Создание политики оповещений для обнаруженных файлов с помощью PowerShell соответствия требованиям безопасности &
Если вы предпочитаете использовать PowerShell для создания той же политики генерации оповещений, как описано в предыдущем разделе, подключитесь к PowerShell по обеспечению безопасности & соответствия требованиям и выполните следующую команду:
New-ActivityAlert -Name "Malicious Files in Libraries" -Description "Notifies admins when malicious files are detected in SharePoint Online, OneDrive, or Microsoft Teams" -Category ThreatManagement -Operation FileMalwareDetected -NotifyUser "admin1@contoso.com","admin2@contoso.com"
Примечание. Значение серьезности по умолчанию — Низкий. Чтобы указать средний или высокий, добавьте параметр Серьезность и значение в команду .
Подробные сведения о синтаксисе и параметрах см. в разделе New-ActivityAlert.
Как проверить, что эти процедуры выполнены?
Чтобы убедиться, что вы успешно включили безопасные вложения для SharePoint, OneDrive и Microsoft Teams, выполните одно из следующих действий.
На портале Microsoft Defender перейдите в раздел Политики & правила>Политики> угроз в разделе >Безопасные вложения, выберите Глобальные параметры и проверьте значение параметра Включить Defender для Office 365 для SharePoint, OneDrive и Microsoft Teams.
В Exchange Online PowerShell выполните следующую команду, чтобы проверить параметр свойства:
Get-AtpPolicyForO365 | Format-List EnableATPForSPOTeamsODB
Подробные сведения о синтаксисе и параметрах см. в разделе Get-AtpPolicyForO365.
Чтобы убедиться, что вы успешно заблокировали загрузку вредоносных файлов, откройте SharePoint Online PowerShell и выполните следующую команду, чтобы проверить значение свойства:
Get-SPOTenant | Format-List DisallowInfectedFileDownload
Подробные сведения о синтаксисе и параметрах см. в разделе Get-SPOTenant.
Чтобы убедиться, что вы успешно настроили политику оповещений для обнаруженных файлов, используйте один из следующих методов:
На портале Microsoft Defender по адресу https://security.microsoft.com/alertpoliciesвыберите политику оповещений и проверьте параметры.
В разделе Безопасность & соответствия PowerShell замените <AlertPolicyName> именем политики оповещений, выполните следующую команду и проверьте значения свойств:
Get-ActivityAlert -Identity "<AlertPolicyName>"
Подробные сведения о синтаксисе и параметрах см. в разделе Get-ActivityAlert.
Используйте отчет о состоянии защиты от угроз , чтобы просмотреть сведения об обнаруженных файлах в SharePoint, OneDrive и Microsoft Teams. В частности, можно использовать представление Просмотр данных по содержимому > вредоносных программ .