为 SharePoint、OneDrive 和 Microsoft Teams 启用安全附件

• 适用于:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗？ 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

在具有Microsoft Defender for Office 365的组织中，适用于 SharePoint、OneDrive 和 Microsoft Teams 的 Office 365 安全附件可保护组织免受无意中共享恶意文件的影响。 有关详细信息，请参阅 SharePoint、OneDrive 和 Microsoft Teams 的安全附件。

在 Microsoft Defender Exchange Online 门户或 PowerShell 中打开或关闭 Office 365 for SharePoint、OneDrive 和 Microsoft Teams 的安全附件。

开始前，有必要了解什么？

• 在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到“ 安全附件 ”页，请使用 https://security.microsoft.com/safeattachmentv2。

• 若要连接到 Exchange Online PowerShell，请参阅连接到 Exchange Online PowerShell。

• 需要先分配权限，然后才能执行本文中的过程。 可以选择下列选项：

  • Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为活动。仅影响 Defender 门户，而不会影响 PowerShell) ：

    • 打开 SharePoint、OneDrive 和 Microsoft Teams 的安全附件： 授权和设置/安全设置/核心安全设置 (管理) 。

  • Email & Microsoft Defender门户中的协作权限：

    • 启用 SharePoint、OneDrive 和 Microsoft Teams 的安全附件： 组织管理 或 安全管理员 角色组中的成员身份。

  • Microsoft Entra权限：以下角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限和权限。

    • 为 SharePoint、OneDrive 和 Microsoft Teams 启用安全附件： 全局管理员^* 或 安全管理员。
    • 使用 SharePoint Online PowerShell 防止用户下载恶意文件： 全局管理员^* 或 SharePoint 管理员。

    重要

    ^* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色，应仅限于在无法使用现有角色的紧急情况下使用。

• 验证是否为组织启用了审核日志记录， (默认启用) 。 有关说明，请参阅 打开或关闭审核。

• 设置最多需要 30 分钟才能生效。

步骤 1：使用 Microsoft Defender 门户为 SharePoint、OneDrive 和 Microsoft Teams 启用安全附件

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到“策略”部分中的“策略 & 规则>威胁策略>”“安全附件”。 或者，若要直接转到“ 安全附件 ”页，请使用 https://security.microsoft.com/safeattachmentv2。

2. 在“ 安全附件 ”页上，选择“ 全局设置”。

3. 在打开的 “全局设置” 浮出控件中，转到 “保护 SharePoint、OneDrive 和 Microsoft Teams 中的文件 ”部分。

   向右移动“打开 SharePoint、OneDrive 和 Microsoft Teams Defender for Office 365”开关，打开 SharePoint、OneDrive 和 Microsoft Teams 的安全附件。

   完成“ 全局设置” 浮出控件后，选择“ 保存”。

使用 Exchange Online PowerShell 为 SharePoint、OneDrive 和 Microsoft Teams 启用安全附件

如果希望使用 PowerShell 为 SharePoint、OneDrive 和 Microsoft Teams 启用安全附件，请连接到 Exchange Online PowerShell 并运行以下命令：

Set-AtpPolicyForO365 -EnableATPForSPOTeamsODB $true

有关详细语法和参数信息，请参阅 Set-AtpPolicyForO365。

步骤 2： (建议) 使用 SharePoint Online PowerShell 防止用户下载恶意文件

默认情况下，用户无法打开、移动、复制或共享^* SharePoint、OneDrive 和 Microsoft Teams 的安全附件检测到的恶意文件。 但是，他们可以删除和下载恶意文件。

^* 如果用户转到 “管理访问权限”，“ 共享 ”选项仍然可用。

若要防止用户下载恶意文件， 请连接到 SharePoint Online PowerShell 并运行以下命令：

Set-SPOTenant -DisallowInfectedFileDownload $true

注意：

• 此设置会影响用户和管理员。
• 人员仍可删除恶意文件。

有关详细语法和参数信息，请参阅 Set-SPOTenant。

步骤 3 (建议) 使用Microsoft Defender门户为检测到的文件创建警报策略

可以创建警报策略，在 SharePoint、OneDrive 和 Microsoft Teams 安全附件检测到恶意文件时通知管理员。 若要详细了解警报策略，请参阅 Microsoft Defender 门户中的警报策略。

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到“策略 & 规则>警报策略”。 若要直接转到 警报策略 页面，请使用 https://security.microsoft.com/alertpolicies。

2. 在 “警报策略 ”页上，选择“ 新建警报策略 ”以启动新的警报策略向导。

3. 在 “命名警报、对其进行分类并选择严重性 ”页上，配置以下设置：

   • 名称：键入唯一的描述性名称。 例如， 库中的恶意文件。
   • 说明：键入可选说明。 例如， 在 SharePoint Online、OneDrive 或 Microsoft Teams 中检测到恶意文件时，通知管理员。
   • 严重性：从下拉列表中选择 “低”、“ 中”或“ 高 ”。
   • 类别：从下拉列表中选择“ 威胁管理 ”。

   完成 命名警报后，对其进行分类，然后选择严重性 页，选择“ 下一步”。

4. 在 “选择活动、条件和何时触发警报 ”页上，配置以下设置：

   • 要发出警报的事项是什么？ 节 >活动是>常见用户活动 部分 > ，从下拉列表 中选择文件中检测到的恶意软件 。
   • 希望如何触发警报？ 节： 选择“每次活动与规则匹配时”。

   完成 “选择活动、条件和何时触发警报 ”页后，选择“ 下一步”。

5. 在 “决定是否要在触发此警报时通知用户 ”页上，配置以下设置：

   • 验证是否选择了“选择加入电子邮件通知”。 在“Email收件人”框中，选择一个或多个应在检测到恶意文件时接收通知的管理员。
   • 每日通知限制：保留默认值 “无限制 ”。

   完成“ 确定是否要在触发此警报时通知人员 ”页后，选择“ 下一步”。

6. 在 “查看设置” 页上，查看设置。 可以在每个部分中选择“编辑”来修改该部分中的设置。 或者，可以在向导中选择“ 后退 ”或特定页面。

   在“ 是否要立即打开策略？” 部分中，选择“ 是的，立即将其打开”。

   完成“ 查看设置” 页后，选择“ 提交”。

7. 在此页上，可以在只读模式下查看警报策略。

   完成后，选择“ 完成”。

   返回“ 警报策略 ”页，将列出新策略。

使用安全性 & 合规性 PowerShell 为检测到的文件创建警报策略

如果希望使用 PowerShell 创建上一部分所述的相同警报策略， 请连接到安全性 & 符合性 PowerShell 并运行以下命令：

New-ActivityAlert -Name "Malicious Files in Libraries" -Description "Notifies admins when malicious files are detected in SharePoint Online, OneDrive, or Microsoft Teams" -Category ThreatManagement -Operation FileMalwareDetected -NotifyUser "admin1@contoso.com","admin2@contoso.com"

注意：默认 严重性 值为低。 若要指定“中”或“高”，请在 命令中包含 Severity 参数和值。

有关详细的语法和参数信息，请参阅 New-ActivityAlert。

如何判断这些过程生效了？

• 若要验证是否已成功启用 SharePoint、OneDrive 和 Microsoft Teams 的安全附件，请使用以下步骤之一：

  • 在Microsoft Defender门户中，转到“策略 & 规则>威胁策略>”部分>“安全附件”，选择“全局设置”，并验证“为 SharePoint、OneDrive 和 Microsoft Teams 启用Defender for Office 365”设置的值。

  • 在 Exchange Online PowerShell 中，运行以下命令以验证属性设置：

    Get-AtpPolicyForO365 | Format-List EnableATPForSPOTeamsODB
    

    有关详细语法和参数信息，请参阅 Get-AtpPolicyForO365。

• 若要验证是否已成功阻止用户下载恶意文件，请打开 SharePoint Online PowerShell，并运行以下命令来验证属性值：

  Get-SPOTenant | Format-List DisallowInfectedFileDownload
  

  有关详细语法和参数信息，请参阅 Get-SPOTenant。

• 若要验证是否已成功为检测到的文件配置警报策略，请使用以下方法之一：

  • 在 Microsoft Defender 门户中https://security.microsoft.com/alertpolicies，选择警报策略并验证设置。

  • 在“安全 & 符合性 PowerShell”中，将 AlertPolicyName> 替换为<警报策略的名称，运行以下命令，并验证属性值：

    Get-ActivityAlert -Identity "<AlertPolicyName>"
    

    有关详细语法和参数信息，请参阅 Get-ActivityAlert。

• 使用 威胁防护状态报告 查看有关 SharePoint、OneDrive 和 Microsoft Teams 中检测到的文件的信息。 具体而言，可以使用“ 查看数据依据：内容 > 恶意软件 ”视图。