開啟適用於 SharePoint、OneDrive 和 Microsoft Teams 的安全附件

• 適用於:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

您知道您可以免費試用 Microsoft Defender XDR for Office 365 方案 2 中的功能嗎？ 在 Microsoft Defender 入口網站試用中樞使用適用於 Office 365 的 90 天 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款。

在具有適用於 Office 365 Microsoft Defender、適用於 Office 365 for SharePoint、OneDrive 和 Microsoft Teams 的安全附件的組織中，可保護您的組織免於不小心共用惡意檔案。 如需詳細資訊，請參閱 SharePoint、OneDrive 和 Microsoft Teams 的安全附件。

您可以在 Microsoft Defender 入口網站或 Exchange Online PowerShell 中開啟或關閉適用於 Office 365 for SharePoint、OneDrive 和 Microsoft Teams 的安全附件。

開始之前有哪些須知？

• 您會在 開啟 Microsoft Defender 入口網站。https://security.microsoft.com 若要直接移至 [安全附件] 頁面，請使用 https://security.microsoft.com/safeattachmentv2。

• 若要連線至 Exchange Online PowerShell，請參閱連線至 Exchange Online PowerShell。

• 您必須獲得指派許可權，才能執行本文中的程式。 您有下列選項：

  • Microsoft Defender XDR 整合角色型訪問控制 (RBAC) ( 如果適用於Office 365 的 Defender 許可權為作用中的電子郵件 & 共同作業>。只會影響 Defender 入口網站，而不會影響 PowerShell) ：

    • 開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件： 授權和設定/安全性設定/核心安全性設定 (管理) 。

  • Microsoft Defender 入口網站中的電子郵件 & 共同作業許可權：

    • 開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件： 組織管理 或 安全性系統管理員 角色群組中的成員資格。

  • Microsoft權限：下列角色中的成員資格可為使用者提供Microsoft 365 中其他功能的必要許可權 和 許可權。

    • 開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件： 全域管理員^* 或 安全性系統管理員。
    • 使用 SharePoint Online PowerShell 防止人員下載惡意檔案： 全域管理員^* 或 SharePoint 系統管理員。

    重要事項

    ^* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域管理員是高度特殊許可權的角色，當您無法使用現有角色時，應該僅限於緊急案例。

• 確認您的組織已啟用稽核記錄， (依預設會開啟) 。 如需指示， 請參閱開啟或關閉稽核。

• 設定最多允許 30 分鐘才會生效。

步驟 1：使用 Microsoft Defender 入口網站開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件

1. 在 Microsoft Defender 入口網站https://security.microsoft.com中，移至 [原則] 區段中的 [原則 & 規則>威脅原則>安全附件]。 或者，若要直接移至 [安全附件 ] 頁面，請使用 https://security.microsoft.com/safeattachmentv2。

2. 在 [ 安全附件] 頁面上，選取 [ 全域設定]。

3. 在開啟 的 [全域設定 ] 飛出視窗中，移至 [保護 SharePoint、OneDrive 和 Microsoft Teams 中的檔案] 區段。

   將 [ 開啟適用於 Office 365 for SharePoint、OneDrive 和 Microsoft Teams 的 Defender] 切換到右側 ，以開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件。

   當您在 [ 全域設定 ] 飛出視窗中完成時，請選取 [ 儲存]。

使用 Exchange Online PowerShell 開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件

如果您想要使用 PowerShell 開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件，請 連線到 Exchange Online PowerShell 並執行下列命令：

Set-AtpPolicyForO365 -EnableATPForSPOTeamsODB $true

如需詳細的語法和參數資訊，請參閱 Set-AtpPolicyForO365。

步驟 2： (建議) 使用 SharePoint Online PowerShell 來防止使用者下載惡意檔案

根據預設，用戶無法開啟、移動、複製或共用^* SharePoint、OneDrive 和 Microsoft Teams 安全附件偵測到的惡意檔案。 不過，他們可以刪除和下載惡意檔案。

^* 如果使用者移至 [管理存取權]，仍可使用 [共用 ] 選項。

若要防止使用者下載惡意檔案， 請連線到 SharePoint Online PowerShell 並執行下列命令：

Set-SPOTenant -DisallowInfectedFileDownload $true

附註：

• 此設定會同時影響使用者和系統管理員。
• 人員仍然可以刪除惡意檔案。

如需詳細的語法和參數資訊，請參閱 Set-SPOTenant。

步驟 3 (建議) 使用 Microsoft Defender 入口網站為偵測到的檔案建立警示原則

您可以建立警示原則，在 SharePoint、OneDrive 和 Microsoft Teams 的安全附件偵測到惡意檔案時通知系統管理員。 若要深入瞭解警示原則，請參閱 Microsoft Defender 入口網站中的警示原則。

1. 在 Microsoft Defender 入口網站中 https://security.microsoft.com，移至 [ 原則 & 規則>警示原則]。 若要直接移至 [警示原則] 頁面，請使用 https://security.microsoft.com/alertpolicies。

2. 在 [ 警示原則] 頁面上，選取 [ 新增警示原則 ] 以啟動新的警示原則精靈。

3. 在 [ 為您的警示命名、加以分類並選擇嚴重性 ] 頁面上，設定下列設定：

   • 名稱：輸入唯一且描述性的名稱。 例如，連結 庫中的惡意檔案。
   • 描述：輸入選擇性描述。 例如，在 SharePoint Online、OneDrive 或 Microsoft Teams 中偵測到惡意檔案時，通知系統管理員。
   • 嚴重性：從下拉式清單中選取 [低]、[ 中] 或 [ 高 ]。
   • 類別：從下拉式清單中選取 [威脅管理 ]。

   當您完成 [ 為警示命名]、將其分類，然後選擇嚴重性 頁面時，請選取 [ 下一步]。

4. 在 [ 選擇活動、條件和觸發警示的時機 ] 頁面上，設定下列設定：

   • 您想要警示什麼？ section >Activity is>Common user activities section > Select Detected malware in file from the dropdown list.
   • 您要如何觸發警示？ 區段： 每次活動符合規則時選取。

   當您在 [ 選擇活動、條件和觸發警示的時機 ] 頁面上完成時，請選取 [ 下一步]。

5. 在 [ 決定是否要在觸發此警示時通知人員 ] 頁面上，設定下列設定：

   • 確認 已選取 [選擇加入電子郵件通知 ]。 在 [ 電子郵件收件者] 方塊中 ，選取一或多個應在偵測到惡意檔案時收到通知的系統管理員。
   • 每日通知限制：保留預設值 [未 選取限制]。

   當您在 [ 決定是否要在觸發此警示時通知人員 ] 頁面上完成時，請選取 [ 下一步]。

6. 在 [ 檢閱您的設定] 頁面上，檢閱您的設定。 您可以在每個區段中選取 [編輯]，以修改該區段內的設定。 或者，您可以選取 [上一頁 ] 或精靈中的特定頁面。

   在 [ 您要立即開啟原則嗎？ ] 區段中，選取 [ 是，立即開啟]。

   當您完成 n [ 檢閱您的設定 ] 頁面時，請選取 [ 提交]。

7. 在此頁面上，您可以在只讀模式中檢閱警示原則。

   當您完成時，請選取 [ 完成]。

   回到 [ 警示原則 ] 頁面，就會列出新的原則。

使用安全性 & 合規性 PowerShell 為偵測到的檔案建立警示原則

如果您想要使用 PowerShell 來建立與上一節所述的相同警示原則，請連線 到安全性 & 合規性 PowerShell ，然後執行下列命令：

New-ActivityAlert -Name "Malicious Files in Libraries" -Description "Notifies admins when malicious files are detected in SharePoint Online, OneDrive, or Microsoft Teams" -Category ThreatManagement -Operation FileMalwareDetected -NotifyUser "admin1@contoso.com","admin2@contoso.com"

注意：默認 嚴重性 值為 [低]。 若要指定 Medium 或 High，請在 命令中包含 Severity 參數和值。

如需詳細的語法和參數資訊，請參閱 New-ActivityAlert。

如何知道這些程序是否正常運作？

• 若要確認您已成功開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件，請使用下列其中一個步驟：

  • 在 Microsoft Defender 入口網站中，移至 [原則 & 規則>威脅>原則] 區段> [安全附件]，選取 [全域設定]，然後確認 [開啟適用於 Office 365 for SharePoint、OneDrive 和 Microsoft Teams 的 Defender] 設定值。

  • 在 Exchange Online PowerShell 中，執行下列命令以確認屬性設定：

    Get-AtpPolicyForO365 | Format-List EnableATPForSPOTeamsODB
    

    如需詳細的語法和參數資訊，請參閱 Get-AtpPolicyForO365。

• 若要確認您已成功封鎖人員下載惡意檔案，請開啟 SharePoint Online PowerShell，然後執行下列命令來驗證屬性值：

  Get-SPOTenant | Format-List DisallowInfectedFileDownload
  

  如需詳細的語法和參數資訊，請參閱 Get-SPOTenant。

• 若要確認您已成功為偵測到的檔案設定警示原則，請使用下列其中一種方法：

  • 在 Microsoft Defender 入口網站中 https://security.microsoft.com/alertpolicies，選取警示原則，並確認設定。

  • 在 [安全性 & 合規性 PowerShell 中，以警示原則的名稱取代 <AlertPolicyName> 、執行下列命令，並確認屬性值：

    Get-ActivityAlert -Identity "<AlertPolicyName>"
    

    如需詳細的語法和參數資訊，請參閱 Get-ActivityAlert。

• 使用 威脅防護狀態報告 來檢視 SharePoint、OneDrive 和 Microsoft Teams 中偵測到檔案的相關信息。 具體而言，您可以使用 [ 檢視數據依據：內容 > 惡意代碼] 檢視 。