Aktivera säkra bilagor för SharePoint, OneDrive och Microsoft Teams

• Gäller för:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

I organisationer med Microsoft Defender för Office 365 skyddar säkra bifogade filer för Office 365 för SharePoint, OneDrive och Microsoft Teams din organisation från att oavsiktligt dela skadliga filer. Mer information finns i Säkra bifogade filer för SharePoint, OneDrive och Microsoft Teams.

Du aktiverar eller inaktiverar säkra bifogade filer för Office 365 för SharePoint, OneDrive och Microsoft Teams i Microsoft Defender-portalen eller i Exchange Online PowerShell.

Vad behöver jag veta innan jag börjar?

• Du öppnar Microsoft Defender-portalen på https://security.microsoft.com. Om du vill gå direkt till sidan Säkra bifogade filer använder du https://security.microsoft.com/safeattachmentv2.

• Information om hur du använder Windows PowerShell för att ansluta till Exchange Online finns i artikeln om att ansluta till Exchange Online PowerShell.

• Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Du har följande alternativ:

  • Microsoft Defender XDR Enhetlig rollbaserad åtkomstkontroll (RBAC) (påverkar endast Defender-portalen, inte PowerShell):
    • Aktivera säkra bifogade filer för SharePoint, OneDrive och Microsoft Teams: Auktorisering och inställningar/Säkerhetsinställningar/Inställningar för kärnsäkerhet (hantera).
  • Email & samarbetsbehörigheter i Microsoft Defender-portalen:
    • Aktivera säkra bifogade filer för SharePoint, OneDrive och Microsoft Teams: Medlemskap i rollgrupperna Organisationshantering eller Säkerhetsadministratör .
  • Microsoft Entra behörigheter: Medlemskap i följande roller ger användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365.
    • Aktivera säkra bifogade filer för SharePoint, OneDrive och Microsoft Teams: Global administratör eller säkerhetsadministratör.
    • Använd SharePoint Online PowerShell för att förhindra att personer laddar ned skadliga filer: Global administratör eller SharePoint-administratör.

• Kontrollera att granskningsloggning är aktiverat för din organisation (det är aktiverat som standard). Anvisningar finns i Aktivera eller inaktivera granskning.

• Det tar upp till 30 minuter innan inställningarna börjar gälla.

Steg 1: Använd Microsoft Defender-portalen för att aktivera säkra bifogade filer för SharePoint, OneDrive och Microsoft Teams

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till Principer & regler>Hotprinciper>Säkra bifogade filer i avsnittet Principer. Om du vill gå direkt till sidan Säkra bifogade filer använder du https://security.microsoft.com/safeattachmentv2.

2. På sidan Säkra bifogade filer väljer du Globala inställningar.

3. I den utfällbara menyn Globala inställningar som öppnas går du till avsnittet Skydda filer i SharePoint, OneDrive och Microsoft Teams .

   Flytta aktivera Defender för Office 365 för SharePoint, OneDrive och Microsoft Teams för att aktivera säkra bifogade filer för SharePoint, OneDrive och Microsoft Teams.

   När du är klar med den utfällbara menyn Globala inställningar väljer du Spara.

Använd Exchange Online PowerShell för att aktivera säkra bifogade filer för SharePoint, OneDrive och Microsoft Teams

Om du hellre vill använda PowerShell för att aktivera säkra bifogade filer för SharePoint, OneDrive och Microsoft Teams ansluter du till Exchange Online PowerShell och kör följande kommando:

Set-AtpPolicyForO365 -EnableATPForSPOTeamsODB $true

Detaljerad information om syntax och parametrar finns i Set-AtpPolicyForO365.

Steg 2: (Rekommenderas) Använd SharePoint Online PowerShell för att förhindra användare från att ladda ned skadliga filer

Som standard kan användarna inte öppna, flytta, kopiera eller dela^* skadliga filer som identifieras av säkra bifogade filer för SharePoint, OneDrive och Microsoft Teams. De kan dock ta bort och ladda ned skadliga filer.

^* Om användarna går till Hantera åtkomst är alternativet Dela fortfarande tillgängligt.

Om du vill förhindra att användare laddar ned skadliga filer ansluter du till SharePoint Online PowerShell och kör följande kommando:

Set-SPOTenant -DisallowInfectedFileDownload $true

Anmärkningar:

• Den här inställningen påverkar både användare och administratörer.
• Personer kan fortfarande ta bort skadliga filer.

Detaljerad information om syntax och parametrar finns i Set-SPOTenant.

Steg 3 (rekommenderas) Använd Microsoft Defender-portalen för att skapa en aviseringsprincip för identifierade filer

Du kan skapa en aviseringsprincip som meddelar administratörer när säkra bifogade filer för SharePoint, OneDrive och Microsoft Teams identifierar en skadlig fil. Mer information om aviseringsprinciper finns i Aviseringsprinciper i Microsoft Defender-portalen.

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till Principer & regler>Aviseringsprincip. Om du vill gå direkt till sidan Varningsprincip använder du https://security.microsoft.com/alertpolicies.

2. På sidan Aviseringsprincip väljer du Ny aviseringsprincip för att starta guiden ny aviseringsprincip.

3. På sidan Namnge din avisering kategoriserar du den och väljer en allvarlighetsgrad och konfigurerar följande inställningar:

   • Namn: Ange ett unikt och beskrivande namn. Till exempel Skadliga filer i bibliotek.
   • Beskrivning: Ange en valfri beskrivning. Till exempel Meddelar administratörer när skadliga filer identifieras i SharePoint Online, OneDrive eller Microsoft Teams.
   • Allvarlighetsgrad: Välj Låg, Medel eller Hög i listrutan.
   • Kategori: Välj Hothantering i listrutan.

   När du är klar med aviseringen Namnge din avisering kategoriserar du den och väljer en allvarlighetsgrad och väljer Nästa.

4. På sidan Välj en aktivitet, villkor och när aviseringssidan ska utlösas konfigurerar du följande inställningar:

   • Vad vill du avisera om? section >Activity is>Common user activities section > Select Detected malware in file from the dropdown list list .
   • Hur vill du att aviseringen ska utlösas? section: Välj Varje gång en aktivitet matchar regeln.

   När du är klar på sidan Välj en aktivitet, villkor och när aviseringssidan ska utlösas väljer du Nästa.

5. På sidan Bestäm om du vill meddela personer när den här aviseringen utlöses konfigurerar du följande inställningar:

   • Kontrollera att Anmäl dig för e-postaviseringar har valts. I rutan Email mottagare väljer du en eller flera globala administratörer, säkerhetsadministratörer eller säkerhetsläsare som ska få ett meddelande när en skadlig fil identifieras.
   • Daglig meddelandegräns: Låt standardvärdet Ingen gräns vara markerad.

   När du är klar på sidan Bestäm om du vill meddela personer när den här aviseringen utlöses väljer du Nästa.

6. Granska inställningarna på sidan Granska dina inställningar . Du kan välja Redigera i varje avsnitt om du vill ändra inställningarna i avsnittet. Eller så kan du välja Tillbaka eller den specifika sidan i guiden.

   I avsnittet Vill du aktivera principen direkt? väljer du Ja, aktivera den direkt.

   När du är klar n sidan Granska dina inställningar väljer du Skicka.

7. På den här sidan kan du granska aviseringsprincipen i skrivskyddat läge.

   När du är klar väljer du Klar.

   Tillbaka på sidan Aviseringsprincip visas den nya principen.

Använd Security & Compliance PowerShell för att skapa en aviseringsprincip för identifierade filer

Om du hellre vill använda PowerShell för att skapa samma aviseringsprincip som beskrivs i föregående avsnitt ansluter du till Security & Compliance PowerShell och kör följande kommando:

New-ActivityAlert -Name "Malicious Files in Libraries" -Description "Notifies admins when malicious files are detected in SharePoint Online, OneDrive, or Microsoft Teams" -Category ThreatManagement -Operation FileMalwareDetected -NotifyUser "admin1@contoso.com","admin2@contoso.com"

Obs! Standardvärdet för allvarlighetsgrad är Låg. Om du vill ange Medel eller Hög tar du med parametern Allvarlighetsgrad och värdet i kommandot .

Detaljerad information om syntax och parametrar finns i New-ActivityAlert.

Hur vet jag att de här procedurerna fungerade?

• Kontrollera att du har aktiverat säkra bifogade filer för SharePoint, OneDrive och Microsoft Teams med något av följande steg:

  • I Microsoft Defender-portalen går du till Avsnittet >Principer & regler>Principer för hotprinciper>, Säkra bifogade filer, väljer Globala inställningar och kontrollerar värdet för inställningen Aktivera Defender för Office 365 för SharePoint, OneDrive och Microsoft Teams.

  • I Exchange Online PowerShell kör du följande kommando för att verifiera egenskapsinställningen:

    Get-AtpPolicyForO365 | Format-List EnableATPForSPOTeamsODB
    

    Detaljerad information om syntax och parametrar finns i Get-AtpPolicyForO365.

• Om du vill kontrollera att du har blockerat personer från att ladda ned skadliga filer öppnar du SharePoint Online PowerShell och kör följande kommando för att verifiera egenskapsvärdet:

  Get-SPOTenant | Format-List DisallowInfectedFileDownload
  

  Detaljerad information om syntax och parametrar finns i Get-SPOTenant.

• Om du vill kontrollera att du har konfigurerat en aviseringsprincip för identifierade filer använder du någon av följande metoder:

  • I Microsoft Defender-portalen på https://security.microsoft.com/alertpoliciesväljer du aviseringsprincipen och verifierar inställningarna.

  • I Security & Compliance PowerShell ersätter du <AlertPolicyName> med namnet på aviseringsprincipen, kör följande kommando och kontrollerar egenskapsvärdena:

    Get-ActivityAlert -Identity "<AlertPolicyName>"
    

    Detaljerad information om syntax och parametrar finns i Get-ActivityAlert.

• Använd rapporten Hotskyddsstatus för att visa information om identifierade filer i SharePoint, OneDrive och Microsoft Teams. Mer specifikt kan du använda vyn Visa data efter: Skadlig kod för innehåll>.