分享方式:


開啟適用於 SharePoint、OneDrive 和 Microsoft Teams 的安全附件

提示

您知道您可以免費試用 Microsoft Defender 全面偵測回應 中的功能 Office 365 方案 2 嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用版條款。

在具有 適用於 Office 365 的 Microsoft Defender 的組織中,適用於 SharePoint、OneDrive 和 Microsoft Teams Office 365 的安全附件可保護您的組織免於不小心共用惡意檔案。 如需詳細資訊,請參閱 SharePoint、OneDrive 和 Microsoft Teams 的安全附件

您可以在 Microsoft Defender 入口網站或 Exchange Online PowerShell 中開啟或關閉適用於 SharePoint、OneDrive 和 Microsoft Teams Office 365 的安全附件。

開始之前有哪些須知?

  • 您會在 開啟 Microsoft Defender 入口網站https://security.microsoft.com。 若要直接移至 [安全附件] 頁面,請使用 https://security.microsoft.com/safeattachmentv2

  • 若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell

  • 您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:

    • Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) ( 如果 Email & 共同作業>適用於 Office 365 的 Defender 許可權為 [作用中]。只會影響 Defender 入口網站,而不會影響 PowerShell) :

      • 開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件授權和設定/安全性設定/核心安全性設定 (管理)
    • Email & Microsoft Defender 入口網站中的共同作業許可權

      • 開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件組織管理安全性系統管理員 角色群組中的成員資格。
    • Microsoft Entra 權限:下列角色的成員資格可為使用者提供Microsoft 365 中其他功能的必要許可權許可權。

      • 開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件全域管理員*安全性系統管理員
      • 使用 SharePoint Online PowerShell 防止人員下載惡意檔案全域管理員*SharePoint 系統管理員

      重要事項

      * Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。

  • 確認您的組織已啟用稽核記錄, (依預設會開啟) 。 如需指示, 請參閱開啟或關閉稽核

  • 設定最多允許 30 分鐘才會生效。

步驟 1:使用 Microsoft Defender 入口網站開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件

  1. 在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 [原則] 區段中的 [原則 & 規則>威脅原則>安全附件]。 或者,若要直接移至 [安全附件 ] 頁面,請使用 https://security.microsoft.com/safeattachmentv2

  2. 在 [ 安全附件] 頁面上,選取 [ 全域設定]

  3. 在開啟 的 [全域設定 ] 飛出視窗中,移至 [保護 SharePoint、OneDrive 和 Microsoft Teams 中的檔案] 區段。

    [開啟 SharePoint、OneDrive 和 Microsoft Teams 的 適用於 Office 365 的 Defender] 切換至右側,以開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件。

    當您在 [ 全域設定 ] 飛出視窗中完成時,請選取 [ 儲存]

使用 Exchange Online PowerShell 開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件

如果您想要使用 PowerShell 開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件,請連線到 Exchange Online PowerShell 並執行下列命令:

Set-AtpPolicyForO365 -EnableATPForSPOTeamsODB $true

如需詳細的語法和參數資訊,請參閱 Set-AtpPolicyForO365

根據預設,用戶無法開啟、移動、複製或共用* SharePoint、OneDrive 和 Microsoft Teams 安全附件偵測到的惡意檔案。 不過,他們可以刪除和下載惡意檔案。

* 如果使用者移至 [管理存取權],仍可使用 [共用 ] 選項。

若要防止使用者下載惡意檔案, 請連線到 SharePoint Online PowerShell 並執行下列命令:

Set-SPOTenant -DisallowInfectedFileDownload $true

附註

  • 此設定會同時影響使用者和系統管理員。
  • 人員 仍然可以刪除惡意檔案。

如需詳細的語法和參數資訊,請參閱 Set-SPOTenant

您可以建立警示原則,在 SharePoint、OneDrive 和 Microsoft Teams 的安全附件偵測到惡意檔案時通知系統管理員。 若要深入瞭解警示原則,請參閱 Microsoft Defender 入口網站中的警示原則

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [原則 & 規則>警示原則]。 若要直接移至 [警示原則] 頁面,請使用 https://security.microsoft.com/alertpolicies

  2. 在 [ 警示原則] 頁面上,選取 [ 新增警示原則 ] 以啟動新的警示原則精靈。

  3. 在 [ 為您的警示命名、加以分類並選擇嚴重性 ] 頁面上,設定下列設定:

    • 名稱:輸入唯一且描述性的名稱。 例如,連結 庫中的惡意檔案
    • 描述:輸入選擇性描述。 例如,在 SharePoint Online、OneDrive 或 Microsoft Teams 中偵測到惡意檔案時,通知系統管理員
    • 嚴重性:從下拉式清單中選取 [低]、[ ] 或 [ ]。
    • 類別:從下拉式清單中選取 [威脅管理 ]。

    當您完成 [ 為警示命名]、將其分類,然後選擇嚴重性 頁面時,請選取 [ 下一步]

  4. 在 [ 選擇活動、條件和觸發警示的時機 ] 頁面上,設定下列設定:

    • 您想要警示什麼? section >Activity is>Common user activities section > Select Detected malware in file from the dropdown list.
    • 您要如何觸發警示? 區段: 每次活動符合規則時選取

    當您在 [ 選擇活動、條件和觸發警示的時機 ] 頁面上完成時,請選取 [ 下一步]

  5. 在 [ 決定是否要在觸發此警示時通知人員 ] 頁面上,設定下列設定:

    • 確認 已選取 [選擇加入電子郵件通知 ]。 在 [Email 收件者] 方塊中,選取一或多個在偵測到惡意檔案時應收到通知的系統管理員。
    • 每日通知限制:保留預設值 [未 選取限制]。

    當您在 [ 決定是否要在觸發此警示時通知人員 ] 頁面上完成時,請選取 [ 下一步]

  6. 在 [ 檢閱您的設定] 頁面上,檢閱您的設定。 您可以在每個區段中選取 [編輯],以修改該區段內的設定。 或者,您可以選取 [上一頁 ] 或精靈中的特定頁面。

    在 [ 您要立即開啟原則嗎? ] 區段中,選取 [ 是,立即開啟]

    當您完成 n [ 檢閱您的設定 ] 頁面時,請選取 [ 提交]

  7. 在此頁面上,您可以在只讀模式中檢閱警示原則。

    當您完成時,請選取 [ 完成]

    回到 [ 警示原則 ] 頁面,就會列出新的原則。

使用安全性 & 合規性 PowerShell 為偵測到的檔案建立警示原則

如果您想要使用 PowerShell 來建立與上一節所述的相同警示原則,請連線 到安全性 & 合規性 PowerShell ,然後執行下列命令:

New-ActivityAlert -Name "Malicious Files in Libraries" -Description "Notifies admins when malicious files are detected in SharePoint Online, OneDrive, or Microsoft Teams" -Category ThreatManagement -Operation FileMalwareDetected -NotifyUser "admin1@contoso.com","admin2@contoso.com"

注意:默認 嚴重性 值為 [低]。 若要指定 Medium 或 High,請在 命令中包含 Severity 參數和值。

如需詳細的語法和參數資訊,請參閱 New-ActivityAlert

如何知道這些程序是否正常運作?

  • 若要確認您已成功開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件,請使用下列其中一個步驟:

    • 在 Microsoft Defender 入口網站中,移至 [原則 & 規則>威脅>原則] 區段> [安全附件],選取 [全域設定],然後確認 [開啟 SharePoint、OneDrive 和 Microsoft Teams 適用於 Office 365 的 Defender] 設定的值。

    • 在 Exchange Online PowerShell 中,執行下列命令以確認屬性設定:

      Get-AtpPolicyForO365 | Format-List EnableATPForSPOTeamsODB
      

      如需詳細的語法和參數資訊,請參閱 Get-AtpPolicyForO365

  • 若要確認您已成功封鎖人員下載惡意檔案,請開啟 SharePoint Online PowerShell,然後執行下列命令來驗證屬性值:

    Get-SPOTenant | Format-List DisallowInfectedFileDownload
    

    如需詳細的語法和參數資訊,請參閱 Get-SPOTenant

  • 若要確認您已成功為偵測到的檔案設定警示原則,請使用下列其中一種方法:

    • 在 Microsoft Defender 入口網站中https://security.microsoft.com/alertpolicies,選取警示原則,並確認設定。

    • 在 [安全性 & 合規性 PowerShell 中,以警示原則的名稱取代 <AlertPolicyName> 、執行下列命令,並確認屬性值:

      Get-ActivityAlert -Identity "<AlertPolicyName>"
      

      如需詳細的語法和參數資訊,請參閱 Get-ActivityAlert

  • 使用 威脅防護狀態報告 來檢視 SharePoint、OneDrive 和 Microsoft Teams 中偵測到檔案的相關信息。 具體而言,您可以使用 [ 檢視數據依據:內容 > 惡意代碼] 檢視