Documenti sicuri in sicurezza Microsoft 365 A5 o E5
Consiglio
Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.
Documenti sicuri è una funzionalità Premium che usa il back-end cloud di Microsoft Defender per endpoint per analizzare i documenti di Office aperti in Visualizzazione protetta o Application Guard per Office.
Gli utenti non hanno bisogno di Defender per endpoint installato nei propri dispositivi locali per ottenere la protezione documenti sicuri. Gli utenti ottengono la protezione documenti sicuri se vengono soddisfatti tutti i requisiti seguenti:
Documenti sicuri è abilitato nell'organizzazione come descritto in questo articolo.
Le licenze di un piano di licenza richiesto vengono assegnate agli utenti. I documenti sicuri sono controllati dal piano di servizio Office 365 SafeDocs (o SAFEDOCS o bf6f5520-59e3-4f82-974b-7dbbc4fd27c7) (noto anche come servizio). Questo piano di servizio è disponibile nei piani di licenza seguenti (noti anche come piani di licenza, piani di Microsoft 365 o prodotti):
- Microsoft 365 A5 per la facoltà
- Microsoft 365 A5 per studenti
- Microsoft 365 E5 Security
I documenti sicuri non sono inclusi nei piani di licenza Microsoft Defender per Office 365.
Per altre informazioni, vedere Nomi dei prodotti e identificatori del piano di servizio per le licenze.
Usano Microsoft 365 Apps for enterprise (precedentemente noto come Office 365 ProPlus) versione 2004 o successiva.
Che cosa è necessario sapere prima di iniziare?
Aprire il portale di Microsoft Defender all'indirizzo https://security.microsoft.com. Per passare direttamente alla pagina Allegati sicuri , usare https://security.microsoft.com/safeattachmentv2.
Per informazioni su come connettersi a PowerShell per Exchange Online, vedere Connettersi a PowerShell per Exchange Online.
Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:
Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato (Se Email & collaborazione>Defender per Office 365 autorizzazioni è Attivo. Influisce solo sul portale di Defender e non su PowerShell: autorizzazioni e impostazioni/Impostazioni di sicurezza/Impostazioni di sicurezza di base (gestione) o Autorizzazioni e impostazioni/Impostazioni di sicurezza/Impostazioni di sicurezza di base (lettura).
Exchange Online autorizzazioni:
- Configurare le impostazioni documenti sicuri: appartenenza ai gruppi di ruoli Gestione organizzazione o Amministratore della sicurezza .
- Accesso in sola lettura alle impostazioni documenti sicuri: appartenenza ai gruppi di ruoli Lettore globale, Lettore di sicurezza o Gestione dell'organizzazione di sola visualizzazione .
Microsoft Entra autorizzazioni: l'appartenenza ai ruoli Amministratore* globale, Amministratore della sicurezza, Lettore globale o Lettore di sicurezza offre agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365.
Importante
* Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
In che modo Microsoft gestisce i dati?
Per mantenere la protezione, Documenti sicuri invia informazioni sui file al cloud Microsoft Defender per endpoint per l'analisi. I dettagli su come Microsoft Defender per endpoint gestiscono i dati sono disponibili qui: Microsoft Defender per endpoint l'archiviazione e la privacy dei dati.
Le informazioni sui file inviate da Documenti sicuri non vengono conservate in Defender per endpoint oltre il tempo necessario per l'analisi (in genere, meno di 24 ore).
Usare il portale di Microsoft Defender per configurare documenti sicuri
Nel portale di Microsoft Defender passare alla pagina Allegati sicuri in https://security.microsoft.com, passare a Email & Criteri di collaborazione>& Regole Criteri> diminaccia>Allegati sicuri nella sezione Criteri. In alternativa, per passare direttamente alla pagina Allegati sicuri , usare https://security.microsoft.com/safeattachmentv2.
Nella pagina Allegati sicuri selezionare Impostazioni globali.
Nel riquadro a comparsa Impostazioni globali visualizzato confermare o configurare le impostazioni seguenti:
- Attivare Documenti sicuri per i client di Office: spostare l'interruttore a destra per attivare la funzionalità: .
- Consenti agli utenti di fare clic su Visualizzazione protetta anche se Documenti sicuri ha identificato il file come dannoso: è consigliabile lasciare questa opzione disattivata .
Al termine del riquadro a comparsa Impostazioni globali , selezionare Salva.
Usare Exchange Online PowerShell per configurare documenti sicuri
Se si preferisce usare PowerShell per configurare Documenti sicuri, usare la sintassi seguente in Exchange Online PowerShell:
Set-AtpPolicyForO365 -EnableSafeDocs <$true | $false> -AllowSafeDocsOpen <$true | $false>
- Il parametro EnableSafeDocs abilita o disabilita i documenti sicuri per l'intera organizzazione.
- Il parametro AllowSafeDocsOpen consente o impedisce agli utenti di uscire dalla visualizzazione protetta ,ovvero aprendo il documento, se il documento è stato identificato come dannoso.
Questo esempio abilita Documenti sicuri per l'intera organizzazione e impedisce agli utenti di aprire documenti identificati come dannosi da Visualizzazione protetta.
Set-AtpPolicyForO365 -EnableSafeDocs $true -AllowSafeDocsOpen $false
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-AtpPolicyForO365.
Configurare l'accesso individuale ai documenti sicuri
Se si vuole consentire o bloccare in modo selettivo l'accesso alla funzionalità Documenti sicuri, seguire questa procedura:
- Attivare Documenti sicuri nel portale di Microsoft Defender o Exchange Online PowerShell come descritto in precedenza in questo articolo.
- Usare Microsoft Graph PowerShell per disabilitare Documenti sicuri per utenti specifici, come descritto in Disabilitare specifici servizi di Microsoft 365 per utenti specifici per un piano di licenza specifico.
Il nome del piano di servizio da disabilitare in PowerShell è SAFEDOCS.
Per altre informazioni, vedere gli articoli seguenti:
- Visualizzare licenze e servizi di Microsoft 365 con PowerShell
- Visualizzare i dettagli relativi alla licenza e al servizio dell'account Microsoft 365 con PowerShell
- Nomi dei prodotti e identificatori del piano di servizio per le licenze
Eseguire l'onboarding nel servizio Microsoft Defender per endpoint per abilitare le funzionalità di controllo
Per abilitare le funzionalità di controllo, il dispositivo locale deve avere installato Microsoft Defender per endpoint. Per distribuire Microsoft Defender per endpoint, è necessario passare attraverso le varie fasi della distribuzione. Dopo l'onboarding, è possibile configurare le funzionalità di controllo nel portale di Microsoft Defender.
Per altre informazioni, vedere Eseguire l'onboarding nel servizio Microsoft Defender per endpoint. Per assistenza, vedere Risolvere i problemi di onboarding Microsoft Defender per endpoint.
Ricerca per categorie sapere che questa procedura ha funzionato?
Per verificare di aver abilitato e configurato Documenti sicuri, seguire questa procedura:
Nel portale di Microsoft Defender passare alla pagina Allegati sicuri in https://security.microsoft.com/safeattachmentv2, selezionare Impostazioni globali e verificare l'opzione Attiva documenti sicuri per i client di Office e Consenti agli utenti di fare clic su Visualizzazione protetta anche se Documenti sicuri identifica il file come impostazioni dannose.
Eseguire il comando seguente in Exchange Online PowerShell e verificare i valori delle proprietà:
Get-AtpPolicyForO365 | Format-List *SafeDocs*
I file seguenti sono disponibili per testare la protezione dei documenti sicuri. Questi file sono simili al file EICAR.TXT per il test di soluzioni antimalware e antivirus. I file non sono dannosi, ma attivano la protezione dei documenti sicuri.