Microsoft Defender for Office 365 Plan 2-støtte for Microsoft Teams
Viktig
Noe informasjon i denne artikkelen er knyttet til et forhåndsutgitt produkt, som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykt eller underforstått, med hensyn til informasjonen som er oppgitt her.
Tips
Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.
Med økt bruk av samarbeidsverktøy som Microsoft Teams har også muligheten for ondsinnede angrep ved hjelp av chattemeldinger økt. Microsoft Defender for Office 365 gir allerede tid til klikkbeskyttelse for nettadresser og filer i Teams-meldinger via klarerte koblinger for Microsoft Teams og klarerte vedlegg for SharePoint, OneDrive og Microsoft Teams.
I Microsoft 365 E5 og Defender for Office 365 Plan 2 har vi utvidet Teams-beskyttelsen med et sett med funksjoner som er utformet for å forstyrre angrepskjeden:
Rapporter mistenkelige Teams-meldinger: Brukere kan rapportere ondsinnede Teams-meldinger. Avhengig av de rapporterte meldingsinnstillingene i organisasjonen, går de rapporterte meldingene til den angitte postboksen for rapportering, til Microsoft eller begge deler. Hvis du vil ha mer informasjon, kan du se Brukerrapporterte innstillinger i Teams.
Nulltimers automatisk beskyttelse (ZAP) for Teams: ZAP er en eksisterende e-postbeskyttelsesfunksjon som oppdager og nøytraliserer meldinger om søppelpost, phishing og skadelig programvare etter levering ved å flytte meldingene til søppelpostmappen eller karantene.
ZAP for Teams setter meldinger i karantene i Teams-chatter eller -kanaler som er funnet å være skadelig programvare eller phishing med høy visshet. Hvis du vil ha mer informasjon, kan du se Nulltimers automatisk tømming (ZAP) i Microsoft Teams.
Instruksjoner for å konfigurere ZAP for Teams-beskyttelse er i neste del.
Teams-meldinger i karantene: Som med e-postmeldinger som identifiseres som skadelig programvare eller phishing med høy visshet, er det bare administratorer som kan administrere Teams-meldinger som er satt i karantene av ZAP for Teams som standard. Hvis du vil ha mer informasjon, kan du se Administrere Teams-meldinger som er satt i karantene.
Enhetspanelet for Teams-meldinger er ett enkelt sted der du kan lagre alle Teams-meldingsmetadata for umiddelbar SecOps-gjennomgang. Alle trusler som kommer fra Teams-chatter, gruppechatter, møtechatter og andre kanaler, finnes på ett sted så snart de er vurdert. Hvis du vil ha mer informasjon, kan du se enhetspanelet for Teams-meldingen i Microsoft Defender for Office 365 Plan 2.
Opplæring med simulert angrep å bruke Teams-meldinger: For å sikre at brukerne er motstandsdyktige mot phishing-angrep i Microsoft Teams, kan administratorer konfigurere phishing-simuleringer ved hjelp av Teams-meldinger i stedet for e-postmeldinger. Hvis du vil ha mer informasjon, kan du se Microsoft Teams i Opplæring med simulert angrep.
Konfigurer ZAP for Teams-beskyttelse i Defender for Office 365 Plan 2
Gå til Innstillinger> fore-post & samarbeid> medMicrosoft Teams-beskyttelse i Microsoft Defender portalen på https://security.microsoft.com. Eller bruk for å gå direkte til beskyttelsessiden https://security.microsoft.com/securitysettings/teamsProtectionPolicyfor Microsoft Teams.
På beskyttelsessiden for Microsoft Teams bekrefter du veksleknappen i inndelingen For automatisk tømming (ZAP) på beskyttelsessiden for Microsoft Teams:
- Slå på ZAP for Teams: Kontroller at veksleknappen er på .
- Slå av ZAP for Teams: Skyv veksleknappen til Av .
Når veksleknappen er aktivert , bruker du de gjenværende innstillingene på siden til å tilpasse ZAP for Teams-beskyttelse:
Inndeling for karantenepolicyer : Du kan velge den eksisterende karantenepolicyen som skal brukes for meldinger som er satt i karantene av ZAP for Teams-beskyttelse som skadelig programvare eller phishing med høy visshet. Karantenepolicyer definerer hva brukere kan gjøre med meldinger som er satt i karantene, og om brukere mottar karantenevarsler. Hvis du vil ha mer informasjon, kan du se Anatomi for en karantenepolicy.
Obs!
Karantenevarsler er deaktivert i policyen AdminOnlyAccessPolicy. Hvis du vil varsle mottakere som har meldinger satt i karantene som skadelig programvare eller phishing med høy visshet, kan du opprette eller bruke en eksisterende karantenepolicy der karantenevarsler er slått på. Hvis du vil ha instruksjoner, kan du se Opprette karantenepolicyer i Microsoft Defender-portalen.
Utelat disse deltakerdelene: Angi brukere, Grupper eller domener som skal utelates fra ZAP for Teams-beskyttelse. Unntak er viktig for meldingsmottakere, ikke avsendere av meldinger. Hvis du vil ha mer informasjon, kan du se Nulltimers automatisk tømming (ZAP) i Microsoft Teams.
Du kan bare bruke et unntak én gang, men unntaket kan inneholde flere verdier:
- Flere verdier for samme unntak bruker ELLER-logikk (for eksempel <mottaker1> eller <mottaker2>). Hvis mottakeren samsvarer med noen av de angitte verdiene, brukes ikke ZAP for Teams-beskyttelse på dem.
- Ulike typer unntak bruker OR-logikk (for eksempel <mottaker1> eller <medlem av gruppe1> eller <medlem av domene1>). Hvis mottakeren samsvarer med noen av de angitte unntaksverdiene, brukes ikke ZAP for Teams-beskyttelse på dem.
Når du er ferdig på beskyttelsessiden for Microsoft Teams , velger du Lagre.
Bruk Exchange Online PowerShell til å konfigurere ZAP for Teams-beskyttelse
Hvis du heller vil bruke Exchange Online PowerShell til å konfigurere ZAP for Microsoft Teams, er følgende cmdleter involvert:
- Teams protection policy (*-TeamsProtectionPolicy cmdlets) slår ZAP for Teams på og av og angir karantenepolicyene som skal brukes for skadelig programvare og phishing-gjenkjenning med høy visshet.
- Regelen for teamsbeskyttelsespolicy (*-TeamsProtectionPolicyRule-cmdleter ) identifiserer Teams-beskyttelsespolicyen og angir eventuelle unntak for ZAP for Teams-beskyttelse (brukere, grupper eller domener).
Notater:
- Det finnes bare én Teams-beskyttelsespolicy i en organisasjon. Som standard kalles denne policyen Teams Protection Policy.
- Bruk av cmdleten New-TeamsProtectionPolicy gir mening bare hvis det ikke finnes noen Teams-beskyttelsespolicy i organisasjonen ( Cmdleten Get-TeamsProtectionPolicy returnerer ingenting). Du kan kjøre cmdleten uten feil, men ingen nye Teams-beskyttelsespolicyer opprettes hvis det allerede finnes en.
- Du kan ikke fjerne en eksisterende Teams-beskyttelsespolicy eller Teams-beskyttelsespolicyregel (det finnes ingen Cmdlet for Remove-TeamsProtectionPolicy eller Remove-TeamsProtectionPolicyRule ).
- Som standard finnes det ingen regel for beskyttelsespolicyer for Teams ( Cmdleten Get-TeamsProtectionPolicyRule returnerer ingenting). Hvis du angir karantenepolicyer eller unntak for ZAP for Teams i Defender-portalen, opprettes regelen automatisk. Du kan også bruke cmdleten New-TeamsProtectionPolicyRule til å opprette regelen i PowerShell hvis den ikke allerede finnes.
Bruk PowerShell til å vise teams beskyttelsespolicy og Policyregel for Teams-beskyttelse
Hvis du vil vise de viktige verdiene i Teams beskyttelsespolicy og Teams beskyttelsespolicyregel, kjører du følgende kommandoer:
Get-TeamsProtectionPolicy | Format-List Name,ZapEnabled,HighConfidencePhishQuarantineTag,MalwareQuarantineTag
Get-TeamsProtectionPolicyRule | Format-List Name,TeamsProtectionPolicy,ExceptIfSentTo,ExceptIfSentToMemberOf,ExceptIfRecipientDomainIs
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Get-TeamsProtectionPolicy og Get-TeamsProtectionPolicyRule.
Bruk PowerShell til å endre beskyttelsespolicyen for Teams
Hvis du vil endre beskyttelsespolicyen for Teams, bruker du følgende syntaks:
Set-TeamsProtectionPolicy -Identity "Teams Protection Policy" [-ZapEnabled <$true | $false>] [-HighConfidencePhishQuarantineTag "<QuarantinePolicyName>"] [-MalwareQuarantineTag "<QuarantinePolicyName>"]
Dette eksemplet aktiverer ZAP for Teams og endrer karantenepolicyen som brukes for phishing-gjenkjenning med høy visshet:
Set-TeamsProtectionPolicy -Identity "Teams Protection Policy" -ZapEnabled $true -HighConfidencePhishQuarantineTag AdminOnlyWithNotifications
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-TeamsProtectionPolicy.
Bruk PowerShell til å opprette policyregelen for Teams-beskyttelse
Som standard finnes det ingen regel for beskyttelsespolicyer for Teams, fordi det ikke finnes noen standardunntak for ZAP for Teams.
Hvis du vil opprette en ny regel for beskyttelsespolicyer for Teams, bruker du følgende syntaks:
New-TeamsProtectionPolicyRule -Name "Teams Protection Policy Rule" -TeamsProtectionPolicy "Teams Protection Policy" [-ExceptIfSentTo <UserEmail1,UserEmail2,...UserEmailN>] [-ExceptIfSentToMemberOf <GroupEmail1,GroupEmail2,...GroupEmailN>] [-ExceptIfRecipientDomainIs <Domain1,Domain2,...DomainN>]
Viktig
Som forklart tidligere i denne artikkelen, bruker flere unntakstyper (brukere, grupper og domener) ELLER-logikk, ikke AND.
Dette eksemplet oppretter policyregelen for Teams-beskyttelse med medlemmer av gruppen Kalt Forskning ekskludert fra ZAP for Teams-beskyttelse.
New-TeamsProtectionPolicyRule -Name "Teams Protection Policy Rule" -TeamsProtectionPolicy "Teams Protection Policy" -ExceptIfSentToMemberOf research@contoso.onmicrosoft.com
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se New-TeamsProtectionPolicyRule.
Bruk PowerShell til å endre policyregelen for Teams-beskyttelse
Hvis policyregelen for Teams-beskyttelse allerede finnes ( cmdleten Get-TeamsProtectionPolicyRule returnerer utdata), bruker du følgende syntaks til å endre regelen:
Set-TeamsProtectionPolicyRule -Identity "Teams Protection Policy Rule" [-ExceptIfSentTo <UserEmailAddresses | $null>] [-ExceptIfSentToMemberOf <GroupEmailAddresses | $null>] [-ExceptIfRecipientDomainIs <Domains | $null>]
Notater:
- Hvis du vil ha informasjon om syntaksen for å legge til, fjerne og erstatte alle verdier for parameterne ExceptIfSentTo, ExceptIfSentToMemberOf og ExceptIfRecipientDomainIs , kan du se parameterbeskrivelsene i Set-TeamsProtectionPolicyRule.
- Hvis du vil tømme parameterne ExceptIfSentTo, ExceptIfSentToMemberOf eller ExceptIfRecipientDomainIs , bruker du verdien
$null
.
Dette eksemplet endrer den eksisterende policyregelen for Teams-beskyttelse ved å ekskludere mottakere i domenene research.contoso.com og research.contoso.net fra ZAP for Teams-beskyttelse.
Set-TeamsProtectionPolicyRule -Identity "Teams Protection Policy Rule" -ExceptIfRecipientDomainIs research.contoso.com,research.contoso.net
Hvis du vil ha detaljert syntaks og parameterinformasjon, kan du se Set-TeamsProtectionPolicyRule.