为 SharePoint、OneDrive 和 Microsoft Teams 启用安全附件
提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
在具有Microsoft Defender for Office 365的组织中,适用于 SharePoint、OneDrive 和 Microsoft Teams 的 Office 365 安全附件可保护组织免受无意中共享恶意文件的影响。 有关详细信息,请参阅 SharePoint、OneDrive 和 Microsoft Teams 的安全附件。
在 Microsoft Defender Exchange Online 门户或 PowerShell 中打开或关闭 Office 365 for SharePoint、OneDrive 和 Microsoft Teams 的安全附件。
开始前,有必要了解什么?
在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到“ 安全附件 ”页,请使用 https://security.microsoft.com/safeattachmentv2。
若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell。
需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:
Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为活动。仅影响 Defender 门户,而不会影响 PowerShell) :
- 打开 SharePoint、OneDrive 和 Microsoft Teams 的安全附件: 授权和设置/安全设置/核心安全设置 (管理) 。
Email & Microsoft Defender门户中的协作权限:
- 启用 SharePoint、OneDrive 和 Microsoft Teams 的安全附件: 组织管理 或 安全管理员 角色组中的成员身份。
Microsoft Entra权限:以下角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限和权限。
- 为 SharePoint、OneDrive 和 Microsoft Teams 启用安全附件: 全局管理员* 或 安全管理员。
- 使用 SharePoint Online PowerShell 防止用户下载恶意文件: 全局管理员* 或 SharePoint 管理员。
重要
* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
验证是否为组织启用了审核日志记录, (默认启用) 。 有关说明,请参阅 打开或关闭审核。
设置最多需要 30 分钟才能生效。
步骤 1:使用 Microsoft Defender 门户为 SharePoint、OneDrive 和 Microsoft Teams 启用安全附件
在 Microsoft Defender 门户中https://security.microsoft.com,转到“策略”部分中的“策略 & 规则>威胁策略>”“安全附件”。 或者,若要直接转到“ 安全附件 ”页,请使用 https://security.microsoft.com/safeattachmentv2。
在“ 安全附件 ”页上,选择“ 全局设置”。
在打开的 “全局设置” 浮出控件中,转到 “保护 SharePoint、OneDrive 和 Microsoft Teams 中的文件 ”部分。
向右移动“打开 SharePoint、OneDrive 和 Microsoft Teams Defender for Office 365”开关,打开 SharePoint、OneDrive 和 Microsoft Teams 的安全附件。
完成“ 全局设置” 浮出控件后,选择“ 保存”。
使用 Exchange Online PowerShell 为 SharePoint、OneDrive 和 Microsoft Teams 启用安全附件
如果希望使用 PowerShell 为 SharePoint、OneDrive 和 Microsoft Teams 启用安全附件,请连接到 Exchange Online PowerShell 并运行以下命令:
Set-AtpPolicyForO365 -EnableATPForSPOTeamsODB $true
有关详细语法和参数信息,请参阅 Set-AtpPolicyForO365。
步骤 2: (建议) 使用 SharePoint Online PowerShell 防止用户下载恶意文件
默认情况下,用户无法打开、移动、复制或共享* SharePoint、OneDrive 和 Microsoft Teams 的安全附件检测到的恶意文件。 但是,他们可以删除和下载恶意文件。
* 如果用户转到 “管理访问权限”,“ 共享 ”选项仍然可用。
若要防止用户下载恶意文件, 请连接到 SharePoint Online PowerShell 并运行以下命令:
Set-SPOTenant -DisallowInfectedFileDownload $true
注意:
- 此设置会影响用户和管理员。
- 人员仍可删除恶意文件。
有关详细语法和参数信息,请参阅 Set-SPOTenant。
步骤 3 (建议) 使用Microsoft Defender门户为检测到的文件创建警报策略
可以创建警报策略,在 SharePoint、OneDrive 和 Microsoft Teams 安全附件检测到恶意文件时通知管理员。 若要详细了解警报策略,请参阅 Microsoft Defender 门户中的警报策略。
在 Microsoft Defender 门户中https://security.microsoft.com,转到“策略 & 规则>警报策略”。 若要直接转到 警报策略 页面,请使用 https://security.microsoft.com/alertpolicies。
在 “警报策略 ”页上,选择“ 新建警报策略 ”以启动新的警报策略向导。
在 “命名警报、对其进行分类并选择严重性 ”页上,配置以下设置:
- 名称:键入唯一的描述性名称。 例如, 库中的恶意文件。
- 说明:键入可选说明。 例如, 在 SharePoint Online、OneDrive 或 Microsoft Teams 中检测到恶意文件时,通知管理员。
- 严重性:从下拉列表中选择 “低”、“ 中”或“ 高 ”。
- 类别:从下拉列表中选择“ 威胁管理 ”。
完成 命名警报后,对其进行分类,然后选择严重性 页,选择“ 下一步”。
在 “选择活动、条件和何时触发警报 ”页上,配置以下设置:
- 要发出警报的事项是什么? 节 >活动是>常见用户活动 部分 > ,从下拉列表 中选择文件中检测到的恶意软件 。
- 希望如何触发警报? 节: 选择“每次活动与规则匹配时”。
完成 “选择活动、条件和何时触发警报 ”页后,选择“ 下一步”。
在 “决定是否要在触发此警报时通知用户 ”页上,配置以下设置:
- 验证是否选择了“选择加入电子邮件通知”。 在“Email收件人”框中,选择一个或多个应在检测到恶意文件时接收通知的管理员。
- 每日通知限制:保留默认值 “无限制 ”。
完成“ 确定是否要在触发此警报时通知人员 ”页后,选择“ 下一步”。
在 “查看设置” 页上,查看设置。 可以在每个部分中选择“编辑”来修改该部分中的设置。 或者,可以在向导中选择“ 后退 ”或特定页面。
在“ 是否要立即打开策略?” 部分中,选择“ 是的,立即将其打开”。
完成“ 查看设置” 页后,选择“ 提交”。
在此页上,可以在只读模式下查看警报策略。
完成后,选择“ 完成”。
返回“ 警报策略 ”页,将列出新策略。
使用安全性 & 合规性 PowerShell 为检测到的文件创建警报策略
如果希望使用 PowerShell 创建上一部分所述的相同警报策略, 请连接到安全性 & 符合性 PowerShell 并运行以下命令:
New-ActivityAlert -Name "Malicious Files in Libraries" -Description "Notifies admins when malicious files are detected in SharePoint Online, OneDrive, or Microsoft Teams" -Category ThreatManagement -Operation FileMalwareDetected -NotifyUser "admin1@contoso.com","admin2@contoso.com"
注意:默认 严重性 值为低。 若要指定“中”或“高”,请在 命令中包含 Severity 参数和值。
有关详细的语法和参数信息,请参阅 New-ActivityAlert。
如何判断这些过程生效了?
若要验证是否已成功启用 SharePoint、OneDrive 和 Microsoft Teams 的安全附件,请使用以下步骤之一:
在Microsoft Defender门户中,转到“策略 & 规则>威胁策略>”部分>“安全附件”,选择“全局设置”,并验证“为 SharePoint、OneDrive 和 Microsoft Teams 启用Defender for Office 365”设置的值。
在 Exchange Online PowerShell 中,运行以下命令以验证属性设置:
Get-AtpPolicyForO365 | Format-List EnableATPForSPOTeamsODB
有关详细语法和参数信息,请参阅 Get-AtpPolicyForO365。
若要验证是否已成功阻止用户下载恶意文件,请打开 SharePoint Online PowerShell,并运行以下命令来验证属性值:
Get-SPOTenant | Format-List DisallowInfectedFileDownload
有关详细语法和参数信息,请参阅 Get-SPOTenant。
若要验证是否已成功为检测到的文件配置警报策略,请使用以下方法之一:
在 Microsoft Defender 门户中https://security.microsoft.com/alertpolicies,选择警报策略并验证设置。
在“安全 & 符合性 PowerShell”中,将 AlertPolicyName> 替换为<警报策略的名称,运行以下命令,并验证属性值:
Get-ActivityAlert -Identity "<AlertPolicyName>"
有关详细语法和参数信息,请参阅 Get-ActivityAlert。
使用 威胁防护状态报告 查看有关 SharePoint、OneDrive 和 Microsoft Teams 中检测到的文件的信息。 具体而言,可以使用“ 查看数据依据:内容 > 恶意软件 ”视图。