開啟適用於 SharePoint、OneDrive 和 Microsoft Teams 的安全附件
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用版條款。
在具有 適用於 Office 365 的 Microsoft Defender 的組織中,適用於 SharePoint、OneDrive 和 Microsoft Teams Office 365 的安全附件可保護您的組織免於不小心共用惡意檔案。 如需詳細資訊,請參閱 SharePoint、OneDrive 和 Microsoft Teams 的安全附件。
您可以在 Microsoft Defender 入口網站或 Exchange Online PowerShell 中開啟或關閉適用於 SharePoint、OneDrive 和 Microsoft Teams Office 365 的安全附件。
開始之前有哪些須知?
您會在 開啟 Microsoft Defender 入口網站https://security.microsoft.com。 若要直接移至 [安全附件] 頁面,請使用 https://security.microsoft.com/safeattachmentv2。
若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。
您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:
Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) (如果 Email & 共同作業>適用於 Office 365 的 Defender 許可權為作用中。只會影響 Defender 入口網站,而不會影響 PowerShell) :
- 開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件: 授權和設定/安全性設定/核心安全性設定 (管理) 。
Email Microsoft Defender 入口網站中 & 共同作業許可權:
- 開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件: 組織管理 或 安全性系統管理員 角色群組中的成員資格。
Microsoft Entra 權限:下列角色的成員資格可為使用者提供Microsoft 365 中其他功能的必要許可權和許可權。
- 開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件: 全域管理員* 或 安全性系統管理員。
- 使用 SharePoint Online PowerShell 防止人員下載惡意檔案: 全域管理員* 或 SharePoint 系統管理員。
重要事項
* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
確認您的組織已啟用稽核記錄, (依預設會開啟) 。 如需指示, 請參閱開啟或關閉稽核。
設定最多允許 30 分鐘才會生效。
步驟 1:使用 Microsoft Defender 入口網站開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件
在 Microsoft Defender 入口網站https://security.microsoft.com的 中,移至 [原則] 區段中的 [原則 & 規則>威脅原則>安全附件]。 或者,若要直接移至 [安全附件 ] 頁面,請使用 https://security.microsoft.com/safeattachmentv2。
在 [ 安全附件] 頁面上,選取 [ 全域設定]。
在開啟 的 [全域設定 ] 飛出視窗中,移至 [保護 SharePoint、OneDrive 和 Microsoft Teams 中的檔案] 區段。
將 [開啟 SharePoint、OneDrive 和 Microsoft Teams 的 適用於 Office 365 的 Defender] 切換至右側,以開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件。
當您在 [ 全域設定 ] 飛出視窗中完成時,請選取 [ 儲存]。
使用 Exchange Online PowerShell 開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件
如果您想要使用 PowerShell 開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件,請連線到 Exchange Online PowerShell 並執行下列命令:
Set-AtpPolicyForO365 -EnableATPForSPOTeamsODB $true
如需詳細的語法和參數資訊,請參閱 Set-AtpPolicyForO365。
步驟 2: (建議) 使用 SharePoint Online PowerShell 來防止使用者下載惡意檔案
根據預設,用戶無法開啟、移動、複製或共用* SharePoint、OneDrive 和 Microsoft Teams 安全附件偵測到的惡意檔案。 不過,他們可以刪除和下載惡意檔案。
* 如果使用者移至 [管理存取權],仍可使用 [共用 ] 選項。
若要防止使用者下載惡意檔案, 請連線到 SharePoint Online PowerShell 並執行下列命令:
Set-SPOTenant -DisallowInfectedFileDownload $true
附註:
- 此設定會同時影響使用者和系統管理員。
- 人員 仍然可以刪除惡意檔案。
如需詳細的語法和參數資訊,請參閱 Set-SPOTenant。
步驟 3 (建議) 使用 Microsoft Defender 入口網站為偵測到的檔案建立警示原則
您可以建立警示原則,在 SharePoint、OneDrive 和 Microsoft Teams 的安全附件偵測到惡意檔案時通知系統管理員。 若要深入瞭解警示原則,請參閱 Microsoft Defender 入口網站中的警示原則。
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則>警示原則]。 若要直接移至 [警示原則] 頁面,請使用 https://security.microsoft.com/alertpolicies。
在 [ 警示原則] 頁面上,選取 [ 新增警示原則 ] 以啟動新的警示原則精靈。
在 [ 為您的警示命名、加以分類並選擇嚴重性 ] 頁面上,設定下列設定:
- 名稱:輸入唯一且描述性的名稱。 例如,連結 庫中的惡意檔案。
- 描述:輸入選擇性描述。 例如,在 SharePoint Online、OneDrive 或 Microsoft Teams 中偵測到惡意檔案時,通知系統管理員。
- 嚴重性:從下拉式清單中選取 [低]、[ 中] 或 [ 高 ]。
- 類別:從下拉式清單中選取 [威脅管理 ]。
當您完成 [ 為警示命名]、將其分類,然後選擇嚴重性 頁面時,請選取 [ 下一步]。
在 [ 選擇活動、條件和觸發警示的時機 ] 頁面上,設定下列設定:
- 您想要警示什麼? section >Activity is>Common user activities section > Select Detected malware in file from the dropdown list.
- 您要如何觸發警示? 區段: 每次活動符合規則時選取。
當您在 [ 選擇活動、條件和觸發警示的時機 ] 頁面上完成時,請選取 [ 下一步]。
在 [ 決定是否要在觸發此警示時通知人員 ] 頁面上,設定下列設定:
- 確認 已選取 [選擇加入電子郵件通知 ]。 在 [Email 收件者] 方塊中,選取一或多個在偵測到惡意檔案時應收到通知的系統管理員。
- 每日通知限制:保留預設值 [未 選取限制]。
當您在 [ 決定是否要在觸發此警示時通知人員 ] 頁面上完成時,請選取 [ 下一步]。
在 [ 檢閱您的設定] 頁面上,檢閱您的設定。 您可以在每個區段中選取 [編輯],以修改該區段內的設定。 或者,您可以選取 [上一頁 ] 或精靈中的特定頁面。
在 [ 您要立即開啟原則嗎? ] 區段中,選取 [ 是,立即開啟]。
當您完成 n [ 檢閱您的設定 ] 頁面時,請選取 [ 提交]。
在此頁面上,您可以在只讀模式中檢閱警示原則。
當您完成時,請選取 [ 完成]。
回到 [ 警示原則 ] 頁面,就會列出新的原則。
使用安全性 & 合規性 PowerShell 為偵測到的檔案建立警示原則
如果您想要使用 PowerShell 來建立與上一節所述的相同警示原則,請連線 到安全性 & 合規性 PowerShell ,然後執行下列命令:
New-ActivityAlert -Name "Malicious Files in Libraries" -Description "Notifies admins when malicious files are detected in SharePoint Online, OneDrive, or Microsoft Teams" -Category ThreatManagement -Operation FileMalwareDetected -NotifyUser "admin1@contoso.com","admin2@contoso.com"
注意:默認 嚴重性 值為 [低]。 若要指定 Medium 或 High,請在 命令中包含 Severity 參數和值。
如需詳細的語法和參數資訊,請參閱 New-ActivityAlert。
如何知道這些程序是否正常運作?
若要確認您已成功開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件,請使用下列其中一個步驟:
在 Microsoft Defender 入口網站中,移至 [原則 & 規則>威脅>原則] 區段> [安全附件],選取 [全域設定],然後確認 [開啟 SharePoint、OneDrive 和 Microsoft Teams 適用於 Office 365 的 Defender] 設定的值。
在 Exchange Online PowerShell 中,執行下列命令以確認屬性設定:
Get-AtpPolicyForO365 | Format-List EnableATPForSPOTeamsODB
如需詳細的語法和參數資訊,請參閱 Get-AtpPolicyForO365。
若要確認您已成功封鎖人員下載惡意檔案,請開啟 SharePoint Online PowerShell,然後執行下列命令來驗證屬性值:
Get-SPOTenant | Format-List DisallowInfectedFileDownload
如需詳細的語法和參數資訊,請參閱 Get-SPOTenant。
若要確認您已成功為偵測到的檔案設定警示原則,請使用下列其中一種方法:
在 Microsoft Defender 入口網站中https://security.microsoft.com/alertpolicies,選取警示原則,並確認設定。
在 [安全性 & 合規性 PowerShell 中,以警示原則的名稱取代 <AlertPolicyName> 、執行下列命令,並確認屬性值:
Get-ActivityAlert -Identity "<AlertPolicyName>"
如需詳細的語法和參數資訊,請參閱 Get-ActivityAlert。
使用 威脅防護狀態報告 來檢視 SharePoint、OneDrive 和 Microsoft Teams 中偵測到檔案的相關信息。 具體而言,您可以使用 [ 檢視數據依據:內容 > 惡意代碼] 檢視 。