Включение безопасных вложений для SharePoint, OneDrive и Microsoft Teams

• Применяется к:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

В организациях с Microsoft Defender для Office 365 безопасные вложения для Office 365 для SharePoint, OneDrive и Microsoft Teams защищают вашу организацию от случайного совместного использования вредоносных файлов. Дополнительные сведения см. в статье Безопасные вложения для SharePoint, OneDrive и Microsoft Teams.

Вы включаете или отключаете безопасные вложения для Office 365 для SharePoint, OneDrive и Microsoft Teams на портале Microsoft Defender или в Exchange Online PowerShell.

Что нужно знать перед началом работы

• Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Безопасные вложения, используйте .https://security.microsoft.com/safeattachmentv2

• Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу Безопасные вложения, используйте .https://security.microsoft.com/safeattachmentv2

• Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

• Чтобы включить безопасные вложения для SharePoint, OneDrive и Microsoft Teams, необходимо быть участником групп ролей "Управление организацией" или "Администратор безопасности" на портале Microsoft Defender. Дополнительные сведения см. в разделе Разрешения на портале Microsoft Defender.

• Чтобы предотвратить скачивание вредоносных файлов с помощью SharePoint Online PowerShell, необходимо быть членом роли глобального администратора или администратора SharePoint в Microsoft Entra ID.

• Убедитесь, что ведение журнала аудита включено для вашей организации (оно включено по умолчанию). Инструкции см. в разделе Включение и отключение аудита.

• До 30 минут до того, как параметры вступают в силу.

Шаг 1. Включение безопасных вложений для SharePoint, OneDrive и Microsoft Teams с помощью портала Microsoft Defender

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политики> угрозБезопасные вложения в разделе Политики. Или, чтобы перейти непосредственно на страницу Безопасные вложения , используйте https://security.microsoft.com/safeattachmentv2.

2. На странице Безопасные вложения выберите Глобальные параметры.

3. Во всплывающем окне Глобальные параметры перейдите к разделу Защита файлов в SharePoint, OneDrive и Microsoft Teams .

   Переместите переключатель Включить Defender для Office 365 для SharePoint, OneDrive и Microsoft Teams вправо, чтобы включить безопасные вложения для SharePoint, OneDrive и Microsoft Teams.

   По завершении во всплывающем окне Глобальные параметры нажмите кнопку Сохранить.

Включение безопасных вложений для SharePoint, OneDrive и Microsoft Teams с помощью Exchange Online PowerShell

Если вы предпочитаете использовать PowerShell для включения безопасных вложений для SharePoint, OneDrive и Microsoft Teams, подключитесь к Exchange Online PowerShell и выполните следующую команду:

Set-AtpPolicyForO365 -EnableATPForSPOTeamsODB $true

Подробные сведения о синтаксисе и параметрах см. в разделе Set-AtpPolicyForO365.

Шаг 2. (Рекомендуется) Использовать SharePoint Online PowerShell, чтобы предотвратить скачивание пользователями вредоносных файлов

По умолчанию пользователи не могут открывать, перемещать, копировать или совместно использовать^* вредоносные файлы, обнаруженные безопасными вложениями для SharePoint, OneDrive и Microsoft Teams. Однако они могут удалять и скачивать вредоносные файлы.

^* Если пользователи переходят в раздел Управление доступом, параметр Поделиться по-прежнему доступен.

Чтобы предотвратить загрузку вредоносных файлов пользователями, подключитесь к SharePoint Online PowerShell и выполните следующую команду:

Set-SPOTenant -DisallowInfectedFileDownload $true

Примечания.

• Этот параметр влияет как на пользователей, так и на администраторов.
• Люди по-прежнему могут удалять вредоносные файлы.

Подробные сведения о синтаксисе и параметрах см. в разделе Set-SPOTenant.

Шаг 3 (рекомендуется) Создание политики оповещений для обнаруженных файлов с помощью портала Microsoft Defender

Вы можете создать политику оповещений, которая уведомляет администраторов о том, что безопасные вложения для SharePoint, OneDrive и Microsoft Teams обнаруживают вредоносный файл. Дополнительные сведения о политиках оповещений см. в статье Политики оповещений на портале Microsoft Defender.

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики & правила>Политика оповещений. Чтобы сразу перейти на страницу Политика оповещений, воспользуйтесь ссылкой https://security.microsoft.com/alertpolicies.

2. На странице Политика оповещений выберите Создать политику оповещений , чтобы запустить мастер создания политики оповещений.

3. На странице Имя оповещения, классифицируйте его и выберите серьезность , настройте следующие параметры:

   • Имя: введите уникальное описательное имя. Например, вредоносные файлы в библиотеках.
   • Описание. Введите необязательное описание. Например, уведомляет администраторов об обнаружении вредоносных файлов в SharePoint Online, OneDrive или Microsoft Teams.
   • Серьезность: выберите Низкий, Средний или Высокий в раскрывающемся списке.
   • Категория. Выберите Управление угрозами в раскрывающемся списке.

   Завершив работу с полем Имя оповещения, классифицируйте его и выберите страницу серьезности и нажмите кнопку Далее.

4. На странице Выбор действия, условия и время активации оповещения настройте следующие параметры:

   • О чем вы хотите оповещать? Раздел >Действие — это>общие действия пользователей , раздел > Выберите обнаруженную вредоносную программу в файле из раскрывающегося списка.
   • Как нужно активировать оповещение? section: выберите Каждый раз, когда действие соответствует правилу.

   Завершив работу на странице Выбор действия, условия и время активации оповещения , нажмите кнопку Далее.

5. На странице Решите, хотите ли вы уведомлять пользователей о активации этого оповещения , настройте следующие параметры:

   • Убедитесь, что выбрано согласие на Уведомления по электронной почте. В поле получателей Email выберите одного или нескольких глобальных администраторов, администраторов безопасности или читателей безопасности, которые должны получать уведомления при обнаружении вредоносного файла.
   • Ежедневное ограничение на уведомления. Оставьте значение по умолчанию Без ограничения .

   Завершив работу на странице Решите, хотите ли вы уведомлять людей о активации этого оповещения , нажмите кнопку Далее.

6. На странице Проверка параметров проверьте параметры. Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете выбрать Назад или конкретную страницу в мастере.

   В разделе Включить политику сразу же выберитеДа, включите ее сразу.

   По завершении на странице Просмотр параметров нажмите кнопку Отправить.

7. На этой странице можно просмотреть политику оповещений в режиме только для чтения.

   По завершении нажмите кнопку Готово.

   На странице Политика оповещений отобразится новая политика.

Создание политики оповещений для обнаруженных файлов с помощью PowerShell соответствия требованиям безопасности &

Если вы предпочитаете использовать PowerShell для создания той же политики генерации оповещений, как описано в предыдущем разделе, подключитесь к PowerShell по обеспечению безопасности & соответствия требованиям и выполните следующую команду:

New-ActivityAlert -Name "Malicious Files in Libraries" -Description "Notifies admins when malicious files are detected in SharePoint Online, OneDrive, or Microsoft Teams" -Category ThreatManagement -Operation FileMalwareDetected -NotifyUser "admin1@contoso.com","admin2@contoso.com"

Примечание. Значение серьезности по умолчанию — Низкий. Чтобы указать средний или высокий, добавьте параметр Серьезность и значение в команду .

Подробные сведения о синтаксисе и параметрах см. в разделе New-ActivityAlert.

Как проверить, что эти процедуры выполнены?

• Чтобы убедиться, что вы успешно включили безопасные вложения для SharePoint, OneDrive и Microsoft Teams, выполните одно из следующих действий.

  • На портале Microsoft Defender перейдите в раздел Политики & правила>Политики> угроз в разделе >Безопасные вложения, выберите Глобальные параметры и проверьте значение параметра Включить Defender для Office 365 для SharePoint, OneDrive и Microsoft Teams.

  • В Exchange Online PowerShell выполните следующую команду, чтобы проверить параметр свойства:

    Get-AtpPolicyForO365 | Format-List EnableATPForSPOTeamsODB
    

    Подробные сведения о синтаксисе и параметрах см. в разделе Get-AtpPolicyForO365.

• Чтобы убедиться, что вы успешно заблокировали загрузку вредоносных файлов, откройте SharePoint Online PowerShell и выполните следующую команду, чтобы проверить значение свойства:

  Get-SPOTenant | Format-List DisallowInfectedFileDownload
  

  Подробные сведения о синтаксисе и параметрах см. в разделе Get-SPOTenant.

• Чтобы убедиться, что вы успешно настроили политику оповещений для обнаруженных файлов, используйте один из следующих методов:

  • На портале Microsoft Defender по адресу https://security.microsoft.com/alertpoliciesвыберите политику оповещений и проверьте параметры.

  • В разделе Безопасность & соответствия PowerShell замените <AlertPolicyName> именем политики оповещений, выполните следующую команду и проверьте значения свойств:

    Get-ActivityAlert -Identity "<AlertPolicyName>"
    

    Подробные сведения о синтаксисе и параметрах см. в разделе Get-ActivityAlert.

• Используйте отчет о состоянии защиты от угроз , чтобы просмотреть сведения об обнаруженных файлах в SharePoint, OneDrive и Microsoft Teams. В частности, можно использовать представление Просмотр данных по содержимому > вредоносных программ .