Włączanie bezpiecznych załączników dla programu SharePoint, usługi OneDrive i aplikacji Microsoft Teams

• Dotyczy:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

W organizacjach z Ochrona usługi Office 365 w usłudze Microsoft Defender bezpieczne załączniki do Office 365 dla programów SharePoint, OneDrive i Microsoft Teams chronią organizację przed nieumyślnym udostępnianiem złośliwych plików. Aby uzyskać więcej informacji, zobacz Bezpieczne załączniki dla programów SharePoint, OneDrive i Microsoft Teams.

Możesz włączyć lub wyłączyć bezpieczne załączniki dla Office 365 dla programu SharePoint, OneDrive i Microsoft Teams w portalu Microsoft Defender lub w programie Exchange Online PowerShell.

Co należy wiedzieć przed rozpoczęciem?

• Otwórz portal Microsoft Defender pod adresem https://security.microsoft.com. Aby przejść bezpośrednio do strony Bezpieczne załączniki , użyj polecenia https://security.microsoft.com/safeattachmentv2.

• Aby nawiązać połączenie z programem Exchange Online programu PowerShell, zobacz Łączenie z programem PowerShell Exchange Online.

• Aby można było wykonać procedury opisane w tym artykule, musisz mieć przypisane uprawnienia. Masz następujące możliwości:

  • Microsoft Defender XDR ujednolicona kontrola dostępu oparta na rolach (RBAC) (jeśli Email & współpracy>Ochrona usługi Office 365 w usłudze Defender uprawnienia to Aktywne. Dotyczy tylko portalu usługi Defender, a nie programu PowerShell):

    • Włącz bezpieczne załączniki dla programów SharePoint, OneDrive i Microsoft Teams: autoryzacja i ustawienia/Ustawienia zabezpieczeń/Podstawowe ustawienia zabezpieczeń (zarządzanie).

  • Email & uprawnienia do współpracy w portalu Microsoft Defender:

    • Włącz bezpieczne załączniki dla programów SharePoint, OneDrive i Microsoft Teams: członkostwo w grupach ról Zarządzanie organizacją lub Administrator zabezpieczeń .

  • uprawnienia Microsoft Entra: Członkostwo w następujących rolach daje użytkownikom wymagane uprawnienia i uprawnienia do innych funkcji w usłudze Microsoft 365.

    • Włącz bezpieczne załączniki dla programów SharePoint, OneDrive i Microsoft Teams: administrator^* globalny lub administrator zabezpieczeń.
    • Użyj programu PowerShell usługi SharePoint Online, aby uniemożliwić użytkownikom pobieranie złośliwych plików: administrator^* globalny lub administrator programu SharePoint.

    Ważna

    ^* Firma Microsoft zaleca używanie ról z najmniejszą liczbą uprawnień. Korzystanie z kont o niższych uprawnieniach pomaga zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

• Sprawdź, czy rejestrowanie inspekcji jest włączone dla Twojej organizacji (domyślnie jest włączone). Aby uzyskać instrukcje, zobacz Włączanie lub wyłączanie inspekcji.

• Zaczekaj do 30 minut na zastosowanie ustawień.

Krok 1. Używanie portalu Microsoft Defender do włączania bezpiecznych załączników dla programów SharePoint, OneDrive i Microsoft Teams

1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do obszaru Zasady & reguły> Bezpiecznezałączniki zasad >zagrożeńw sekcji Zasady. Aby przejść bezpośrednio do strony Bezpieczne załączniki , użyj polecenia https://security.microsoft.com/safeattachmentv2.

2. Na stronie Bezpieczne załączniki wybierz pozycję Ustawienia globalne.

3. W wyświetlonym menu wysuwowym Ustawienia globalne przejdź do sekcji Ochrona plików w programie SharePoint, usłudze OneDrive i usłudze Microsoft Teams .

   Przenieś przełącznik Włącz Ochrona usługi Office 365 w usłudze Defender dla programów SharePoint, OneDrive i Microsoft Teams w prawo, aby włączyć bezpieczne załączniki dla programów SharePoint, OneDrive i Microsoft Teams.

   Po zakończeniu w menu wysuwnym Ustawienia globalne wybierz pozycję Zapisz.

Używanie Exchange Online programu PowerShell do włączania bezpiecznych załączników dla programów SharePoint, OneDrive i Microsoft Teams

Jeśli wolisz używać programu PowerShell do włączania bezpiecznych załączników dla programów SharePoint, OneDrive i Microsoft Teams, połącz się z programem Exchange Online programu PowerShell i uruchom następujące polecenie:

Set-AtpPolicyForO365 -EnableATPForSPOTeamsODB $true

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Set-AtpPolicyForO365.

Krok 2. (Zalecane) Używanie programu PowerShell usługi SharePoint Online, aby uniemożliwić użytkownikom pobieranie złośliwych plików

Domyślnie użytkownicy nie mogą otwierać, przenosić, kopiować ani udostępniać^* złośliwych plików wykrytych przez bezpieczne załączniki dla programów SharePoint, OneDrive i Microsoft Teams. Mogą jednak usuwać i pobierać złośliwe pliki.

^* Jeśli użytkownicy przejdą do pozycji Zarządzaj dostępem, opcja Udostępnij jest nadal dostępna.

Aby uniemożliwić użytkownikom pobieranie złośliwych plików, połącz się z programem PowerShell usługi SharePoint Online i uruchom następujące polecenie:

Set-SPOTenant -DisallowInfectedFileDownload $true

Uwagi:

• To ustawienie dotyczy zarówno użytkowników, jak i administratorów.
• Osoby nadal mogą usuwać złośliwe pliki.

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Set-SPOTenant.

Krok 3 (Zalecane) Tworzenie zasad alertów dla wykrytych plików za pomocą portalu Microsoft Defender

Możesz utworzyć zasady alertów, które powiadamiają administratorów, gdy bezpieczne załączniki dla programu SharePoint, usługi OneDrive i usługi Microsoft Teams wykryje złośliwy plik. Aby dowiedzieć się więcej na temat zasad alertów, zobacz Zasady alertów w portalu Microsoft Defender.

1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do obszaru Zasady & reguł alertów>. Aby przejść bezpośrednio do strony zasad alertów , użyj polecenia https://security.microsoft.com/alertpolicies.

2. Na stronie Zasady alertów wybierz pozycję Nowe zasady alertów , aby uruchomić kreatora nowych zasad alertów.

3. Na stronie Nazwa alertu kategoryzuj go i wybierz ważność , skonfiguruj następujące ustawienia:

   • Nazwa: wpisz unikatową i opisową nazwę. Na przykład złośliwe pliki w bibliotekach.
   • Opis: wpisz opcjonalny opis. Na przykład powiadamia administratorów o wykryciu złośliwych plików w usłudze SharePoint Online, OneDrive lub Microsoft Teams.
   • Ważność: wybierz pozycję Niski, Średni lub Wysoki z listy rozwijanej.
   • Kategoria: wybierz pozycję Zarządzanie zagrożeniami z listy rozwijanej.

   Po zakończeniu korzystania z alertu Name your alert (Nadaj nazwę alertowi) kategoryzuj go i wybierz stronę ważności , a następnie wybierz pozycję Dalej.

4. Na stronie Wybieranie działania, warunków i godziny wyzwalania alertu skonfiguruj następujące ustawienia:

   • Na czym chcesz otrzymywać alerty? sekcja >Działanie to> sekcja >Typowe działania użytkownika Wybierz wykryte złośliwe oprogramowanie w pliku z listy rozwijanej.
   • Jak chcesz wyzwolić alert? sekcja: wybierz pozycję Za każdym razem, gdy działanie jest zgodne z regułą.

   Po zakończeniu na stronie Wybieranie działania, warunków i czasu wyzwolenia alertu wybierz pozycję Dalej.

5. Na stronie Zdecyduj, czy chcesz powiadamiać użytkowników o wyzwoleniu tego alertu skonfiguruj następujące ustawienia:

   • Sprawdź , czy wybrano opcję Zgoda na powiadomienia e-mail . W polu adresaci Email wybierz co najmniej jednego administratora, który powinien otrzymywać powiadomienia po wykryciu złośliwego pliku.
   • Dzienny limit powiadomień: pozostaw wartość domyślną Nie wybrano limitu .

   Po zakończeniu na stronie Zdecyduj, czy chcesz powiadamiać użytkowników o wyzwoleniu tego alertu , wybierz przycisk Dalej.

6. Na stronie Przeglądanie ustawień przejrzyj ustawienia. W każdej sekcji możesz wybrać pozycję Edytuj , aby zmodyfikować ustawienia w sekcji. Możesz też wybrać pozycję Wstecz lub określoną stronę w kreatorze.

   W sekcji Czy chcesz od razu włączyć zasady? wybierz pozycję Tak, włącz je od razu.

   Po zakończeniu n strony Przeglądanie ustawień wybierz pozycję Prześlij.

7. Na tej stronie można przejrzeć zasady alertów w trybie tylko do odczytu.

   Po zakończeniu wybierz pozycję Gotowe.

   Po powrocie na stronę Zasad alertów są wyświetlane nowe zasady.

Tworzenie zasad alertów dla wykrytych plików przy użyciu programu PowerShell zgodności & zabezpieczeń

Jeśli wolisz użyć programu PowerShell do utworzenia tych samych zasad alertów, co opisano w poprzedniej sekcji, połącz się z programem PowerShell security & Compliance i uruchom następujące polecenie:

New-ActivityAlert -Name "Malicious Files in Libraries" -Description "Notifies admins when malicious files are detected in SharePoint Online, OneDrive, or Microsoft Teams" -Category ThreatManagement -Operation FileMalwareDetected -NotifyUser "admin1@contoso.com","admin2@contoso.com"

Uwaga: domyślna wartość ważności to Niska. Aby określić wartość średnią lub wysoką, dołącz parametr ważności i wartość w poleceniu .

Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz New-ActivityAlert.

Skąd wiesz, że te procedury zadziałają?

• Aby sprawdzić, czy pomyślnie włączono bezpieczne załączniki dla programów SharePoint, OneDrive i Microsoft Teams, wykonaj jedną z następujących czynności:

  • W portalu Microsoft Defender przejdź do sekcji>Zasady & zasad zagrożeńZasady> dotyczące zagrożeń>, wybierz pozycję Ustawienia globalne i sprawdź wartość ustawienia Włącz Ochrona usługi Office 365 w usłudze Defender dla programu SharePoint, usługi OneDrive i usługi Microsoft Teams.

  • W Exchange Online programu PowerShell uruchom następujące polecenie, aby zweryfikować ustawienie właściwości:

    Get-AtpPolicyForO365 | Format-List EnableATPForSPOTeamsODB
    

    Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Get-AtpPolicyForO365.

• Aby sprawdzić, czy pomyślnie zablokowano użytkownikom możliwość pobierania złośliwych plików, otwórz program PowerShell usługi SharePoint Online i uruchom następujące polecenie, aby zweryfikować wartość właściwości:

  Get-SPOTenant | Format-List DisallowInfectedFileDownload
  

  Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Get-SPOTenant.

• Aby sprawdzić, czy zasady alertów dla wykrytych plików zostały pomyślnie skonfigurowane, użyj jednej z następujących metod:

  • W portalu Microsoft Defender pod adresem https://security.microsoft.com/alertpolicieswybierz zasady alertów i sprawdź ustawienia.

  • W programie PowerShell security & Compliance zastąp <ciąg AlertPolicyName> nazwą zasad alertu, uruchom następujące polecenie i sprawdź wartości właściwości:

    Get-ActivityAlert -Identity "<AlertPolicyName>"
    

    Aby uzyskać szczegółowe informacje o składni i parametrach, zobacz Get-ActivityAlert.

• Raport o stanie ochrony przed zagrożeniami umożliwia wyświetlanie informacji o wykrytych plikach w programach SharePoint, OneDrive i Microsoft Teams. W szczególności możesz użyć widoku Wyświetl dane według: Widok złośliwego oprogramowania zawartości>.