Поделиться через


Безопасные документы в Microsoft 365 A5 или E5 Security

Совет

Знаете ли вы, что можете бесплатно опробовать функции XDR в Microsoft Defender для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и использовать условия пробной версии, см. в статье Пробная версия Microsoft Defender для Office 365.

Безопасные документы — это функция уровня "Премиум", которая использует облачную серверную часть Microsoft Defender для конечной точки для сканирования открытых документов Office в защищенном режиме или Application Guard для Office.

Для защиты безопасных документов пользователям не требуется установка Defender для конечной точки на локальных устройствах. Пользователи получают защиту безопасных документов, если выполняются все следующие требования:

  • Безопасные документы включены в организации, как описано в этой статье.

  • Лицензии из необходимого плана лицензирования назначаются пользователям. Безопасные документы управляются планом службы Office 365 SafeDocs (или SAFEDOCS или bf6f5520-59e3-4f82-974b-7dbbc4fd27c7) (также известной как служба). Этот план обслуживания доступен в следующих планах лицензирования (также известных как планы лицензий, планы Microsoft 365 или продукты):

    • Microsoft 365 A5 для преподавателей
    • Microsoft 365 A5 для учащихся
    • Безопасность Microsoft 365 E5

    Безопасные документы не включены в планы лицензирования Microsoft Defender для Office 365.

    Дополнительные сведения см. в разделе Названия продуктов и идентификаторы плана обслуживания для лицензирования.

  • Они используют приложения Microsoft 365 для предприятий (прежнее название — Office 365 профессиональный плюс) версии 2004 или более поздней.

Что нужно знать перед началом работы

  • Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Безопасные вложения, используйте .https://security.microsoft.com/safeattachmentv2

  • Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

  • Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

    • Единое управление доступом на основе ролей (RBAC) в Microsoft Defender XDR (если активны разрешения Microsoft Defender & совместной работы>Defender для Office 365. Влияет только на портал Defender, а не На PowerShell: авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).

    • Разрешения Exchange Online:

      • Настройка параметров безопасных документов: членство в группах ролей "Управление организацией" или "Администратор безопасности ".
      • Доступ только для чтения к параметрам безопасных документов: членство в группах ролей "Глобальный читатель", "Читатель безопасности" или "Управление организацией только для просмотра ".
    • Разрешения Microsoft Entra. Членство в ролях "Глобальный администратор*", "Администратор безопасности", "Глобальный читатель" или "Читатель безопасности" предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

      Важно!

      * Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Как корпорация Майкрософт обрабатывает ваши данные?

Для защиты безопасные документы отправляют сведения о файлах в облако Microsoft Defender для конечной точки для анализа. Сведения о том, как Microsoft Defender для конечной точки обрабатывает данные, можно найти здесь: Хранилище данных и конфиденциальность Microsoft Defender для конечной точки.

Сведения о файлах, отправляемые безопасными документами, не хранятся в Defender для конечной точки сверх времени, необходимого для анализа (обычно менее 24 часов).

Настройка безопасных документов с помощью портала Microsoft Defender

  1. На портале Microsoft Defender перейдите на страницу Безопасные вложения по адресу https://security.microsoft.com, в разделе Политикиэлектронной почты & совместной работы>& правила Политики>угроз>Безопасные вложения. Или, чтобы перейти непосредственно на страницу Безопасные вложения , используйте https://security.microsoft.com/safeattachmentv2.

  2. На странице Безопасные вложения выберите Глобальные параметры.

  3. Во всплывающем окне Глобальные параметры подтвердите или настройте следующие параметры:

    • Включите безопасные документы для клиентов Office. Переместите переключатель вправо, чтобы включить функцию : .
    • Разрешить пользователям щелкать защищенное представление, даже если безопасные документы определили файл как вредоносный. Рекомендуется оставить этот параметр отключенным .

    По завершении во всплывающем окне Глобальные параметры нажмите кнопку Сохранить.

    Параметры безопасных документов после выбора глобальных параметров на странице Безопасные вложения

Настройка безопасных документов с помощью Exchange Online PowerShell

Если вы предпочитаете использовать PowerShell для настройки безопасных документов, используйте следующий синтаксис в Exchange Online PowerShell:

Set-AtpPolicyForO365 -EnableSafeDocs <$true | $false> -AllowSafeDocsOpen <$true | $false>
  • Параметр EnableSafeDocs включает или отключает безопасные документы для всей организации.
  • Параметр AllowSafeDocsOpen разрешает или запрещает пользователям покидать защищенное представление (т. е. открывать документ), если документ был идентифицирован как вредоносный.

В этом примере показано, как включить безопасные документы для всей организации и запретить пользователям открывать документы, которые были определены как вредоносные в защищенном представлении.

Set-AtpPolicyForO365 -EnableSafeDocs $true -AllowSafeDocsOpen $false

Подробные сведения о синтаксисе и параметрах см. в разделе Set-AtpPolicyForO365.

Настройка индивидуального доступа к безопасным документам

Если вы хотите выборочно разрешить или заблокировать доступ к функции "Безопасные документы", выполните следующие действия.

  1. Включите безопасные документы на портале Microsoft Defender или Exchange Online PowerShell, как описано ранее в этой статье.
  2. Используйте Microsoft Graph PowerShell, чтобы отключить безопасные документы для определенных пользователей, как описано в разделе Отключение определенных служб Microsoft 365 для определенных пользователей для определенного плана лицензирования.

Имя плана обслуживания, который необходимо отключить в PowerShell, — SAFEDOCS.

Дополнительные сведения см. в следующих статьях:

Подключение к службе Microsoft Defender для конечной точки для включения возможностей аудита

Чтобы включить возможности аудита, на локальном устройстве необходимо установить Microsoft Defender для конечной точки. Чтобы развернуть Microsoft Defender для конечной точки, необходимо пройти различные этапы развертывания. После подключения вы можете настроить возможности аудита на портале Microsoft Defender.

Дополнительные сведения см. в статье Подключение к службе Microsoft Defender для конечной точки. Если вам нужна помощь, см. статью Устранение неполадок с подключением Microsoft Defender для конечной точки.

Как узнать, что эта процедура сработала?

Чтобы убедиться, что вы включили и настроили безопасные документы, выполните одно из следующих действий.

  • На портале Microsoft Defender перейдите на страницу Безопасные вложения по адресу https://security.microsoft.com/safeattachmentv2, выберите Глобальные параметры и проверьте параметр Включить безопасные документы для клиентов Office и Разрешить пользователям щелкать защищенный просмотр, даже если безопасные документы идентифицируют файл как вредоносные параметры.

  • Выполните следующую команду в Exchange Online PowerShell и проверьте значения свойств:

    Get-AtpPolicyForO365 | Format-List *SafeDocs*
    
  • Для проверки защиты безопасных документов доступны следующие файлы. Эти файлы похожи на файл EICAR.TXT для тестирования решений для защиты от вредоносных программ и вирусов. Файлы не являются вредными, но они активируют защиту безопасных документов.