Microsoft 365 A5 或 E5 安全性中的安全文档

提示

你知道可以免费试用 Microsoft Defender XDR for Office 365 计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用为期 90 天的 Defender for Office 365 试用版。 在此处了解谁可以注册和试用条款。

安全文档是一项高级功能,它使用 Microsoft Defender for Endpoint 的云后端扫描 受保护的视图Office 应用程序防护中打开的 Office 文档。

用户不需要在其本地设备上安装 Defender for Endpoint 即可获得安全文档保护。 如果满足以下所有要求,用户将获得安全文档保护:

  • 如本文所述,在组织中启用了安全文档。

  • 将所需许可计划中的许可证分配给用户。 安全文档由 Office 365 SafeDocs (或 SAFEDOCSbf6f5520-59e3-4f82-974b-7dbbc4fd27c7) 服务计划控制, (也称为服务) 。 此服务计划在以下许可计划中提供, (也称为许可证计划、Microsoft 365 计划或) 产品:

    • Microsoft 365 A5 教职员工
    • Microsoft 365 A5 学生版
    • Microsoft 365 E5 安全性

    安全文档不包括在 Microsoft Defender for Office 365 许可计划中。

    有关详细信息,请参阅 用于许可的产品名称和服务计划标识符

  • 他们正在使用 Microsoft 365 企业应用 (以前称为 Office 365 专业增强版) 版本 2004 或更高版本。

开始前,有必要了解什么?

  • 在 打开 Microsoft Defender 门户 https://security.microsoft.com。 若要直接转到“ 安全附件 ”页,请使用 https://security.microsoft.com/safeattachmentv2

  • 若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell

  • 需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:

    • Microsoft Defender XDR 基于角色的统一访问控制 (RBAC) (如果电子邮件 & 协作>Defender for Office 365权限处于活动状态。仅影响 Defender 门户,而不影响 PowerShell) :授权和设置/安全设置/核心安全设置 (管理) 授权和设置/安全设置/核心安全设置 (读取)

    • Exchange Online 权限

      • 配置安全文档设置组织管理安全管理员 角色组中的成员身份。
      • 对安全文档设置的只读访问权限全局读取者安全读取者仅查看组织管理 角色组中的成员身份。
    • Microsoft Entra 权限全局管理员*安全管理员全局读取者安全读取者 角色的成员身份为用户提供Microsoft 365 中其他功能的所需权限 权限。

      重要

      * Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。

Microsoft如何处理数据?

为了保护你,安全文档会将文件信息发送到 Microsoft Defender for Endpoint 云进行分析。 可在此处找到有关 Microsoft Defender for Endpoint 如何处理数据的详细信息: Microsoft Defender for Endpoint 数据存储和隐私

安全文档发送的文件信息不会保留到 Defender for Endpoint 中,超过分析 (通常少于 24 小时) 。

使用 Microsoft Defender 门户配置安全文档

  1. 在 Microsoft Defender 门户中,转到“安全附件”页,转到https://security.microsoft.com策略”部分中的“电子邮件 & 协作>策略 & 规则>威胁策略>安全附件”。 或者,若要直接转到“ 安全附件 ”页,请使用 https://security.microsoft.com/safeattachmentv2

  2. 在“ 安全附件 ”页上,选择“ 全局设置”。

  3. 在打开的 “全局设置” 浮出控件中,确认或配置以下设置:

    • 打开 Office 客户端的安全文档:将开关向右移动以打开功能:
    • 即使安全文档将文件标识为恶意文件,也允许用户单击“受保护的视图”:建议将此选项保留为关闭 状态。

    完成“ 全局设置” 浮出控件后,选择“ 保存”。

    在“安全附件”页上选择“全局设置”后的安全文档设置

使用 Exchange Online PowerShell 配置安全文档

如果希望使用 PowerShell 配置安全文档,请在 Exchange Online PowerShell 中使用以下语法:

Set-AtpPolicyForO365 -EnableSafeDocs <$true | $false> -AllowSafeDocsOpen <$true | $false>
  • EnableSafeDocs 参数为整个组织启用或禁用安全文档。
  • AllowSafeDocsOpen 参数允许或阻止用户离开受保护的视图 (即,如果文档被标识为恶意,) 打开文档。

本示例为整个组织启用安全文档,并阻止用户打开已从受保护的视图中标识为恶意的文档。

Set-AtpPolicyForO365 -EnableSafeDocs $true -AllowSafeDocsOpen $false

有关详细语法和参数信息,请参阅 Set-AtpPolicyForO365

配置对安全文档的单独访问

如果要有选择地允许或阻止访问安全文档功能,请执行以下步骤:

  1. 如本文前面所述,在 Microsoft Defender 门户或 Exchange Online PowerShell 中打开安全文档。
  2. 使用 Microsoft Graph PowerShell 为特定用户禁用安全文档,如为 特定许可计划禁用特定用户的特定 Microsoft 365 服务中所述。

在 PowerShell 中禁用的服务计划的名称是 SAFEDOCS

有关详细信息,请参阅以下文章:

加入 Microsoft Defender for Endpoint 服务以启用审核功能

若要启用审核功能,本地设备需要安装 Microsoft Defender for Endpoint。 若要部署 Microsoft Defender for Endpoint,需要完成部署的各个阶段。 加入后,可以在 Microsoft Defender 门户中配置审核功能。

若要了解详细信息,请参阅 载入到 Microsoft Defender for Endpoint 服务。 如果需要帮助,请参阅 排查 Microsoft Defender for Endpoint 载入问题

如何知道此过程是否正常工作?

若要验证是否已启用和配置安全文档,请执行以下步骤:

  • 在 Microsoft Defender 门户中,转到“https://security.microsoft.com/safeattachmentv2安全附件”页,选择“全局设置,并验证“为 Office 客户端启用安全文档”和“允许用户单击受保护的视图”,即使安全文档将该文件标识为恶意设置。

  • 在 Exchange Online PowerShell 中运行以下命令并验证属性值:

    Get-AtpPolicyForO365 | Format-List *SafeDocs*
    
  • 以下文件可用于测试安全文档保护。 这些文件类似于用于测试反恶意软件和防病毒解决方案的 EICAR.TXT 文件。 这些文件并不有害,但它们会触发安全文档保护。