Microsoft 365 A5 または E5 セキュリティの安全なドキュメント
ヒント
Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。
安全なドキュメントは、Microsoft Defender for Endpointのクラウド バックエンドを使用して、保護ビューまたは office 用のApplication Guardで開いている Office ドキュメントをスキャンするプレミアム機能です。
ユーザーは、安全なドキュメント保護を取得するために、ローカル デバイスに Defender for Endpoint をインストールする必要はありません。 次のすべての要件が満たされている場合、ユーザーは安全なドキュメント保護を受けます。
安全なドキュメントは、この記事の説明に従ってorganizationで有効になっています。
必要なライセンス プランのライセンスがユーザーに割り当てられます。 安全なドキュメントは、Office 365 SafeDocs (または SAFEDOCS または bf6f5520-59e3-4f82-974b-7dbbc4fd27c7) サービス プラン (サービスとも呼ばれます) によって制御されます。 このサービス プランは、次のライセンス プラン (ライセンス プラン、Microsoft 365 プラン、または製品とも呼ばれます) で利用できます。
- 学部Microsoft 365 A5
- 学生向けMicrosoft 365 A5
- Microsoft 365 E5 Security
安全なドキュメントは、Microsoft Defender for Office 365ライセンス プランには含まれません。
詳細については、「ライセンスの 製品名とサービス プラン識別子」を参照してください。
Microsoft 365 Apps for enterprise (旧称 Office 365 ProPlus) バージョン 2004 以降を使用しています。
はじめに把握しておくべき情報
「https://security.microsoft.com」で Microsoft Defender ポータルを開きます。 [安全な添付ファイル] ページに直接移動するには、https://security.microsoft.com/safeattachmentv2 を使用します。
Exchange Online PowerShell へ接続するには、「Exchange Online PowerShell に接続する」を参照してください。
この記事の手順を実行する前に、アクセス許可を割り当てる必要があります。 以下のオプションがあります。
Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC) (コラボレーションがEmail &場合>Defender for Office 365アクセス許可はアクティブです。Defender ポータルにのみ影響します。PowerShell ではなく、承認と設定/セキュリティ設定/コア セキュリティ設定 (管理) または承認と設定/セキュリティ設定/コア セキュリティ設定 (読み取り))。
-
- 安全なドキュメントの設定を構成する: 組織の管理 または セキュリティ管理者 の役割グループのメンバーシップ。
- [安全なドキュメント] 設定への読み取り専用アクセス: グローバル閲覧者、 セキュリティ閲覧者、または 表示のみの組織管理 役割グループのメンバーシップ。
Microsoft Entraアクセス許可: グローバル管理者*、セキュリティ管理者、グローバル 閲覧者、またはセキュリティ 閲覧者ロールのメンバーシップは、ユーザーに Microsoft 365 の他の機能に必要なアクセス許可とアクセス許可をユーザーに付与します。
重要
* Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。
Microsoft はデータをどのように処理しますか?
保護を維持するために、安全なドキュメントは分析のためにファイル情報をMicrosoft Defender for Endpointクラウドに送信します。 Microsoft Defender for Endpointがデータを処理する方法の詳細については、Microsoft Defender for Endpointデータストレージとプライバシーに関するページを参照してください。
安全なドキュメントによって送信されたファイル情報は、分析に必要な時間 (通常は 24 時間未満) を超えて Defender for Endpoint に保持されません。
Microsoft Defender ポータルを使用して安全なドキュメントを構成する
Microsoft Defender ポータルで、https://security.microsoft.comの [安全な添付ファイル] ページに移動し、[ポリシー] セクションの Email & [コラボレーション>ポリシー & ルール>>安全な添付ファイル] に移動します。 [安全な添付ファイル] ページに直接移動するには、https://security.microsoft.com/safeattachmentv2 を使用します。
[ 安全な添付ファイル] ページで、[ グローバル設定] を選択します。
開いた [グローバル設定] ポップアップで、次の設定を確認または構成します。
- Office クライアントの安全なドキュメントを有効にする: トグルを右に移動して機能を有効にする: 。
- 安全なドキュメントでファイルが悪意があると特定された場合でも、保護ビューをクリックできるようにします。このオプションは、 オフのままにすることをお勧めします。
[グローバル設定] ポップアップが完了したら、[保存] を選択します。
PowerShell Exchange Online使用して安全なドキュメントを構成する
PowerShell を使用して安全なドキュメントを構成する場合は、PowerShell Exchange Onlineで次の構文を使用します。
Set-AtpPolicyForO365 -EnableSafeDocs <$true | $false> -AllowSafeDocsOpen <$true | $false>
- EnableSafeDocs パラメーターは、organization全体のセーフ ドキュメントを有効または無効にします。
- AllowSafeDocsOpen パラメーターを使用すると、ドキュメントが悪意のあるものとして識別された場合に、ユーザーが保護ビュー (つまりドキュメントを開く) から離れることを許可または禁止できます。
この例では、organization全体の安全なドキュメントを有効にし、保護ビューから悪意があると識別されたドキュメントをユーザーが開くのを防ぎます。
Set-AtpPolicyForO365 -EnableSafeDocs $true -AllowSafeDocsOpen $false
構文とパラメーターの詳細については、「 Set-AtpPolicyForO365」を参照してください。
安全なドキュメントへの個々のアクセスを構成する
安全なドキュメント機能へのアクセスを選択的に許可またはブロックする場合は、次の手順に従います。
- Microsoft Defender ポータルで安全なドキュメントを有効にするか、この記事で前述したように PowerShell をExchange Onlineします。
- 「特定のライセンス プランの特定のユーザーに対して特定の Microsoft 365 サービスを無効にする」の説明に従って、 特定のユーザーの安全なドキュメントを無効にするには、Microsoft Graph PowerShell を使用します。
PowerShell で無効にするサービス プランの名前は SAFEDOCS です。
詳細については、次の記事を参照してください。
- PowerShell を使用して Microsoft 365 のライセンスとサービスを表示する
- PowerShell を使用して Microsoft 365 アカウントのライセンスとサービスの詳細を表示する
- ライセンスのための製品名とサービス プラン識別子
Microsoft Defender for Endpoint サービスにオンボードして監査機能を有効にする
監査機能を有効にするには、ローカル デバイスにMicrosoft Defender for Endpointがインストールされている必要があります。 Microsoft Defender for Endpointをデプロイするには、デプロイのさまざまなフェーズを実行する必要があります。 オンボード後、Microsoft Defender ポータルで監査機能を構成できます。
詳細については、「Microsoft Defender for Endpoint サービスへのオンボード」を参照してください。 ヘルプが必要な場合は、「Microsoft Defender for Endpointオンボードの問題のトラブルシューティング」を参照してください。
この手順操作方法機能したことを知っていますか?
セーフ ドキュメントを有効にして構成したことを確認するには、次のいずれかの手順を実行します。
Microsoft Defender ポータルで、https://security.microsoft.com/safeattachmentv2の [安全な添付ファイル] ページに移動し、[グローバル設定] を選択し、[Office クライアントの安全なドキュメントを有効にする] と [安全なドキュメントが悪意のある設定としてファイルを識別した場合でも、保護されたビューをクリックできるようにする] を確認します。
Exchange Online PowerShell で次のコマンドを実行し、プロパティ値を確認します。
Get-AtpPolicyForO365 | Format-List *SafeDocs*
安全なドキュメント保護をテストするには、次のファイルを使用できます。 これらのファイルは、マルウェア対策およびウイルス対策ソリューションをテストするための EICAR.TXT ファイルに似ています。 ファイルは有害ではありませんが、安全なドキュメント保護をトリガーします。