Sichere Dokumente in Microsoft 365 A5 oder E5 Security

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

Sichere Dokumente ist ein Premium-Feature, das das Cloud-Back-End von Microsoft Defender for Endpoint verwendet, um geöffnete Office-Dokumente in der geschützten Ansicht oder Application Guard für Office zu scannen.

Benutzer müssen Defender für Endpunkt nicht auf ihren lokalen Geräten installiert haben, um den Schutz sicherer Dokumente zu erhalten. Benutzer erhalten Schutz vor sicheren Dokumenten, wenn alle folgenden Anforderungen erfüllt sind:

  • Sichere Dokumente sind im organization aktiviert, wie in diesem Artikel beschrieben.

  • Den Benutzern werden Lizenzen aus einem erforderlichen Lizenzierungsplan zugewiesen. Sichere Dokumente werden durch den Serviceplan Office 365 SafeDocs (oder SAFEDOCS oder bf6f5520-59e3-4f82-974b-7dbbc4fd27c7) (auch als Dienst bezeichnet) gesteuert. Dieser Serviceplan ist in den folgenden Lizenzierungsplänen (auch als Lizenzpläne, Microsoft 365-Pläne oder -Produkte bezeichnet) verfügbar:

    • Microsoft 365 A5 für Lehrkräfte
    • Microsoft 365 A5 für Studierende
    • Microsoft 365 E5 Security

    Sichere Dokumente sind nicht in Microsoft Defender for Office 365 Lizenzierungsplänen enthalten.

    Weitere Informationen finden Sie unter Produktnamen und Serviceplanbezeichner für die Lizenzierung.

  • Sie verwenden Microsoft 365 Apps for Enterprise (früher als Office 365 ProPlus bezeichnet) Version 2004 oder höher.

Was sollten Sie wissen, bevor Sie beginnen?

  • Sie öffnen das Microsoft Defender-Portal unter https://security.microsoft.com. Um direkt zur Seite Sichere Anlagen zu wechseln, verwenden Sie https://security.microsoft.com/safeattachmentv2.

  • Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

  • Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:

    • Microsoft Defender XDR Vereinheitlichte rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (Wenn Email & Zusammenarbeit>Defender for Office 365 Berechtigungen aktiv sind. Betrifft nur das Defender-Portal, nicht PowerShell): Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (verwalten) oder Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (lesen).

    • Exchange Online Berechtigungen:

      • Einstellungen für sichere Dokumente konfigurieren: Mitgliedschaft in den Rollengruppen "Organisationsverwaltung" oder "Sicherheitsadministrator ".
      • Schreibgeschützter Zugriff auf die Einstellungen für sichere Dokumente: Mitgliedschaft in den Rollengruppen "Globaler Leser", "Sicherheitsleser" oder " Schreibgeschützter Organisationsverwaltung ".
    • Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in den Rollen "Globaler Administrator*", "Sicherheitsadministrator", "Globaler Leser" oder "Sicherheitsleseberechtigter" erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365.

      Wichtig

      * Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Wie geht Microsoft mit Ihren Daten um?

Um Sie zu schützen, sendet Safe Documents Dateiinformationen zur Analyse an die Microsoft Defender for Endpoint Cloud. Details dazu, wie Microsoft Defender for Endpoint Mit Ihren Daten umgeht, finden Sie hier: Microsoft Defender for Endpoint Datenspeicherung und Datenschutz.

Dateiinformationen, die von sicheren Dokumenten gesendet werden, werden in Defender für Endpunkt nicht über die für die Analyse erforderliche Zeit (in der Regel weniger als 24 Stunden) aufbewahrt.

Verwenden des Microsoft Defender-Portals zum Konfigurieren von sicheren Dokumenten

  1. Wechseln Sie im Microsoft Defender-Portal zur Seite Sichere Anlagen unter https://security.microsoft.com, wechseln Sie im Abschnitt Richtlinien zu Email & Richtlinienfür die Zusammenarbeit >& Regeln>Bedrohungsrichtlinien>Sichere Anlagen. Oder verwenden Sie https://security.microsoft.com/safeattachmentv2, um direkt zur Seite Sichere Anlagen zu wechseln.

  2. Wählen Sie auf der Seite Sichere Anlagendie Option Globale Einstellungen aus.

  3. Bestätigen oder konfigurieren Sie im daraufhin geöffneten Flyout Globale Einstellungen die folgenden Einstellungen:

    • Sichere Dokumente für Office-Clients aktivieren: Verschieben Sie die Umschaltfläche nach rechts, um das Feature zu aktivieren: .
    • Personen das Klicken durch die geschützte Ansicht erlauben, auch wenn sichere Dokumente die Datei als bösartig erkannt haben: Wir empfehlen, diese Option deaktiviert zu lassen.

    Wenn Sie im Flyout Globale Einstellungen fertig sind, wählen Sie Speichern aus.

    Einstellungen für sichere Dokumente nach dem Auswählen der globalen Einstellungen auf der Seite

Verwenden von Exchange Online PowerShell zum Konfigurieren von sicheren Dokumenten

Wenn Sie powerShell verwenden möchten, um sichere Dokumente zu konfigurieren, verwenden Sie die folgende Syntax in Exchange Online PowerShell:

Set-AtpPolicyForO365 -EnableSafeDocs <$true | $false> -AllowSafeDocsOpen <$true | $false>
  • Der Parameter EnableSafeDocs aktiviert oder deaktiviert sichere Dokumente für die gesamte organization.
  • Der Parameter AllowSafeDocsOpen erlaubt oder verhindert, dass Benutzer die geschützte Ansicht verlassen (d. h. das Öffnen des Dokuments), wenn das Dokument als böswillig identifiziert wurde.

Dieses Beispiel aktiviert sichere Dokumente für die gesamte organization und verhindert, dass Benutzer Dokumente öffnen, die in der geschützten Ansicht als böswillig identifiziert wurden.

Set-AtpPolicyForO365 -EnableSafeDocs $true -AllowSafeDocsOpen $false

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-AtpPolicyForO365.

Konfigurieren des individuellen Zugriffs auf sichere Dokumente

Wenn Sie den Zugriff auf das Feature "Sichere Dokumente" selektiv zulassen oder blockieren möchten, führen Sie die folgenden Schritte aus:

  1. Aktivieren Sie sichere Dokumente im Microsoft Defender-Portal oder Exchange Online PowerShell, wie zuvor in diesem Artikel beschrieben.
  2. Verwenden Sie Microsoft Graph PowerShell, um sichere Dokumente für bestimmte Benutzer zu deaktivieren, wie unter Deaktivieren bestimmter Microsoft 365-Dienste für bestimmte Benutzer für einen bestimmten Lizenzierungsplan beschrieben.

Der Name des Dienstplans, der in PowerShell deaktiviert werden soll, lautet SAFEDOCS.

Weitere Informationen finden Sie in den folgenden Artikeln:

Onboarding in den Microsoft Defender for Endpoint-Dienst, um Überwachungsfunktionen zu aktivieren

Zum Aktivieren von Überwachungsfunktionen muss auf dem lokalen Gerät Microsoft Defender for Endpoint installiert sein. Um Microsoft Defender for Endpoint bereitzustellen, müssen Sie die verschiedenen Phasen der Bereitstellung durchlaufen. Nach dem Onboarding können Sie Überwachungsfunktionen im Microsoft Defender-Portal konfigurieren.

Weitere Informationen finden Sie unter Onboarding in den Microsoft Defender for Endpoint-Dienst. Wenn Sie Hilfe benötigen, finden Sie weitere Informationen unter Problembehandlung bei Microsoft Defender for Endpoint Onboarding.

Gewusst wie wissen, dass dieses Verfahren funktioniert hat?

Führen Sie einen der folgenden Schritte aus, um zu überprüfen, ob Sie sichere Dokumente aktiviert und konfiguriert haben:

  • Wechseln Sie im Microsoft Defender-Portal zur Seite Sichere Anlagen unter https://security.microsoft.com/safeattachmentv2, wählen Sie Globale Einstellungen aus, und überprüfen Sie die Einstellungen Sichere Dokumente für Office-Clients aktivieren und Personen das Klicken durch geschützte Ansicht erlauben, auch wenn sichere Dokumente die Datei als böswillig identifiziert.

  • Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, und überprüfen Sie die Eigenschaftswerte:

    Get-AtpPolicyForO365 | Format-List *SafeDocs*
    
  • Die folgenden Dateien sind verfügbar, um den Schutz sicherer Dokumente zu testen. Diese Dateien ähneln der EICAR.TXT-Datei zum Testen von Antischadsoftware- und Antivirenlösungen. Die Dateien sind nicht schädlich, lösen aber den Schutz sicherer Dokumente aus.