共用方式為


Microsoft 365 A5 或 E5 安全性中的安全檔

提示

您知道您可以免費試用 Microsoft Defender XDR for Office 365 方案 2 中的功能嗎? 在 Microsoft Defender 入口網站試用中樞使用適用於 Office 365 的 90 天 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款

安全檔是進階功能,使用 適用於端點的 Microsoft Defender 的雲端後端,在 受保護的檢視Office 應用程式防護中掃描開啟的 Office 檔。

使用者不需要在其本機裝置上安裝適用於端點的 Defender,即可取得安全文件保護。 如果符合下列所有需求,用戶會獲得安全文件保護:

  • 如本文所述,組織中已啟用安全檔。

  • 來自必要授權方案的授權會指派給使用者。 安全檔是由 Office 365 SafeDocs (或 SAFEDOCSbf6f5520-59e3-4f82-974b-7dbbc4fd27c7) 服務方案所控制, (也稱為服務) 。 此服務方案可在下列授權方案中取得, (也稱為授權方案、Microsoft 365 方案或產品) :

    • Microsoft 365 A5 for Faculty
    • Microsoft 365 A5 學生版
    • Microsoft 365 E5 安全性

    適用於 Office 365 的 Microsoft Defender 授權方案中未包含安全文件。

    如需詳細資訊,請參閱 授權的產品名稱和服務方案標識符

  • 他們使用 Microsoft 365 Apps 企業版 (先前稱為 Office 365 專業增強版) 2004 版或更新版本。

開始之前有哪些須知?

  • 您會在 開啟 Microsoft Defender 入口網站。https://security.microsoft.com 若要直接移至 [安全附件] 頁面,請使用 https://security.microsoft.com/safeattachmentv2

  • 若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell

  • 您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:

    • Microsoft Defender XDR 整合角色型訪問控制 (RBAC) ( 如果適用於Office 365 的 Defender 許可權為作用的電子郵件 & 共同作業>。只會影響 Defender 入口網站,而不會影響 PowerShell) : (管理) 的授權和設定/安全性設定/核心安全性設定 (讀取) 的授權和設定/安全性設定/核心安全性設定

    • Exchange Online 許可權

      • 設定安全檔設定組織管理安全性系統管理員 角色群組中的成員資格。
      • 安全文件設定的唯讀存取權全域讀取者安全性讀取者僅限檢視組織管理 角色群組中的成員資格。
    • Microsoft權限:全域管理員、安全性系統管理員*、全域讀取者或安全性取者角色的成員資格,可為使用者提供Microsoft 365 中其他功能的必要許可權許可權。

      重要事項

      * Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該僅限於緊急案例。

Microsoft如何處理您的數據?

為了保護您,安全檔會將檔案資訊傳送至 適用於端點的 Microsoft Defender 雲端進行分析。 如需適用於端點Microsoft Defender 如何處理數據的詳細數據,請參閱: Microsoft適用於端點的 Defender 資料儲存和隱私權

安全檔所傳送的檔案資訊不會在適用於端點的 Defender 中保留超過分析 (所需的時間,通常) 不到 24 小時。

使用 Microsoft Defender 入口網站來設定安全檔

  1. 在 Microsoft Defender 入口網站中,移至 [安全附件] 頁面https://security.microsoft.com,移至 [原則] 區段中的 [電子郵件 &> 共同作業原則 & 規則>威脅原則>安全附件]。 或者,若要直接移至 [安全附件 ] 頁面,請使用 https://security.microsoft.com/safeattachmentv2

  2. 在 [ 安全附件] 頁面上,選取 [ 全域設定]

  3. 在開啟 的 [全域設定 ] 飛出視窗中,確認或設定下列設定:

    • 開啟 Office 用戶端的安全檔:將切換移至右側以開啟功能:
    • 即使安全檔將檔案識別為惡意,仍允許使用者按兩下 [受保護的檢視]:建議您將此選項保持關閉

    當您在 [ 全域設定 ] 飛出視窗中完成時,請選取 [ 儲存]

    在 [安全附件] 頁面上選取 [全域設定] 之後的安全文件設定

使用 Exchange Online PowerShell 設定安全文件

如果您希望使用者 PowerShell 設定安全檔,請在 Exchange Online PowerShell 中使用下列語法:

Set-AtpPolicyForO365 -EnableSafeDocs <$true | $false> -AllowSafeDocsOpen <$true | $false>
  • EnableSafeDocs 參數會為整個組織啟用或停用安全檔。
  • AllowSafeDocsOpen 參數允許或防止使用者離開受保護的檢視 (也就是,如果檔已識別為惡意,則開啟檔) 。

此範例會為整個組織啟用安全檔,並防止使用者從受保護的檢視開啟已識別為惡意的檔。

Set-AtpPolicyForO365 -EnableSafeDocs $true -AllowSafeDocsOpen $false

如需詳細的語法和參數資訊,請參閱 Set-AtpPolicyForO365

設定安全文件的個別存取

如果您要選擇性地允許或封鎖安全檔案功能的存取,請遵循下列步驟:

  1. 如本文先前所述,在 Microsoft Defender 入口網站或 Exchange Online PowerShell 中開啟安全檔。
  2. 使用 Microsoft Graph PowerShell 為特定使用者停用安全檔,如針對 特定授權方案停用特定使用者的特定Microsoft 365 服務中所述。

要在 PowerShell 中停用的服務方案名稱是 SAFEDOCS

如需詳細資訊,請參閱下列文章:

上線至適用於端點的 Microsoft Defender 服務,以啟用稽核功能

若要啟用稽核功能,本機裝置必須安裝適用於端點的 Microsoft Defender。 若要部署適用於端點Microsoft Defender,您必須經歷各種部署階段。 上線之後,您可以在 Microsoft Defender 入口網站中設定稽核功能。

若要深入瞭解, 請參閱上架至適用於端點的 Microsoft Defender 服務。 如果您需要協助,請參閱 針對適用於端點Microsoft Defender 上線問題進行疑難解答

如何知道此程序運作正常?

若要確認您已啟用並設定安全檔,請執行下列任何步驟:

  • 在 Microsoft Defender 入口網站中,移至 的 [安全附件] 頁面https://security.microsoft.com/safeattachmentv2,選取 [全域設定],然後確認 [開啟 Office 用戶端的安全檔] 和 [允許人員按兩下受保護的檢視],即使安全文件將檔案識別為惡意設定也一樣。

  • 在 Exchange Online PowerShell 中執行下列命令,並確認屬性值:

    Get-AtpPolicyForO365 | Format-List *SafeDocs*
    
  • 下列檔案可用來測試安全文件保護。 這些檔案類似於測試反惡意代碼和防病毒軟體解決方案的 EICAR.TXT 檔案。 檔案不會有害,但會觸發安全文件保護。