为 SharePoint、OneDrive 和 Microsoft Teams 启用安全附件

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

在具有Microsoft Defender for Office 365的组织中,适用于 SharePoint、OneDrive 和 Microsoft Teams 的 Office 365 安全附件可保护组织免受无意中共享恶意文件的影响。 有关详细信息,请参阅 SharePoint、OneDrive 和 Microsoft Teams 的安全附件

在 Microsoft Defender Exchange Online 门户或 PowerShell 中打开或关闭 Office 365 for SharePoint、OneDrive 和 Microsoft Teams 的安全附件。

开始前,有必要了解什么?

  • 在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到“ 安全附件 ”页,请使用 https://security.microsoft.com/safeattachmentv2

  • 若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell

  • 需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:

    • Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为活动。仅影响 Defender 门户,而不会影响 PowerShell) :

      • 打开 SharePoint、OneDrive 和 Microsoft Teams 的安全附件授权和设置/安全设置/核心安全设置 (管理)
    • Email & Microsoft Defender门户中的协作权限

      • 启用 SharePoint、OneDrive 和 Microsoft Teams 的安全附件组织管理安全管理员 角色组中的成员身份。
    • Microsoft Entra权限:以下角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限权限。

      • 为 SharePoint、OneDrive 和 Microsoft Teams 启用安全附件全局管理员*安全管理员
      • 使用 SharePoint Online PowerShell 防止用户下载恶意文件全局管理员*SharePoint 管理员

      重要

      * Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

  • 验证是否为组织启用了审核日志记录, (默认启用) 。 有关说明,请参阅 打开或关闭审核

  • 设置最多需要 30 分钟才能生效。

步骤 1:使用 Microsoft Defender 门户为 SharePoint、OneDrive 和 Microsoft Teams 启用安全附件

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,转到“策略”部分中的“策略 & 规则>威胁策略>”“安全附件”。 或者,若要直接转到“ 安全附件 ”页,请使用 https://security.microsoft.com/safeattachmentv2

  2. 在“ 安全附件 ”页上,选择“ 全局设置”。

  3. 在打开的 “全局设置” 浮出控件中,转到 “保护 SharePoint、OneDrive 和 Microsoft Teams 中的文件 ”部分。

    向右移动“打开 SharePoint、OneDrive 和 Microsoft Teams Defender for Office 365”开关,打开 SharePoint、OneDrive 和 Microsoft Teams 的安全附件。

    完成“ 全局设置” 浮出控件后,选择“ 保存”。

使用 Exchange Online PowerShell 为 SharePoint、OneDrive 和 Microsoft Teams 启用安全附件

如果希望使用 PowerShell 为 SharePoint、OneDrive 和 Microsoft Teams 启用安全附件,请连接到 Exchange Online PowerShell 并运行以下命令:

Set-AtpPolicyForO365 -EnableATPForSPOTeamsODB $true

有关详细语法和参数信息,请参阅 Set-AtpPolicyForO365

默认情况下,用户无法打开、移动、复制或共享* SharePoint、OneDrive 和 Microsoft Teams 的安全附件检测到的恶意文件。 但是,他们可以删除和下载恶意文件。

* 如果用户转到 “管理访问权限”,“ 共享 ”选项仍然可用。

若要防止用户下载恶意文件, 请连接到 SharePoint Online PowerShell 并运行以下命令:

Set-SPOTenant -DisallowInfectedFileDownload $true

注意

  • 此设置会影响用户和管理员。
  • 人员仍可删除恶意文件。

有关详细语法和参数信息,请参阅 Set-SPOTenant

可以创建警报策略,在 SharePoint、OneDrive 和 Microsoft Teams 安全附件检测到恶意文件时通知管理员。 若要详细了解警报策略,请参阅 Microsoft Defender 门户中的警报策略

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,转到“策略 & 规则>警报策略”。 若要直接转到 警报策略 页面,请使用 https://security.microsoft.com/alertpolicies

  2. “警报策略 ”页上,选择“ 新建警报策略 ”以启动新的警报策略向导。

  3. “命名警报、对其进行分类并选择严重性 ”页上,配置以下设置:

    • 名称:键入唯一的描述性名称。 例如, 库中的恶意文件
    • 说明:键入可选说明。 例如, 在 SharePoint Online、OneDrive 或 Microsoft Teams 中检测到恶意文件时,通知管理员
    • 严重性:从下拉列表中选择 “低”、“ 中”或“ ”。
    • 类别:从下拉列表中选择“ 威胁管理 ”。

    完成 命名警报后,对其进行分类,然后选择严重性 页,选择“ 下一步”。

  4. “选择活动、条件和何时触发警报 ”页上,配置以下设置:

    • 要发出警报的事项是什么? 节 >活动是>常见用户活动 部分 > ,从下拉列表 中选择文件中检测到的恶意软件
    • 希望如何触发警报? 节: 选择“每次活动与规则匹配时”。

    完成 “选择活动、条件和何时触发警报 ”页后,选择“ 下一步”。

  5. “决定是否要在触发此警报时通知用户 ”页上,配置以下设置:

    • 验证是否选择了“选择加入电子邮件通知”。 在“Email收件人”框中,选择一个或多个应在检测到恶意文件时接收通知的管理员。
    • 每日通知限制:保留默认值 “无限制 ”。

    完成“ 确定是否要在触发此警报时通知人员 ”页后,选择“ 下一步”。

  6. “查看设置” 页上,查看设置。 可以在每个部分中选择“编辑”来修改该部分中的设置。 或者,可以在向导中选择“ 后退 ”或特定页面。

    在“ 是否要立即打开策略?” 部分中,选择“ 是的,立即将其打开”。

    完成“ 查看设置” 页后,选择“ 提交”。

  7. 在此页上,可以在只读模式下查看警报策略。

    完成后,选择“ 完成”。

    返回“ 警报策略 ”页,将列出新策略。

使用安全性 & 合规性 PowerShell 为检测到的文件创建警报策略

如果希望使用 PowerShell 创建上一部分所述的相同警报策略, 请连接到安全性 & 符合性 PowerShell 并运行以下命令:

New-ActivityAlert -Name "Malicious Files in Libraries" -Description "Notifies admins when malicious files are detected in SharePoint Online, OneDrive, or Microsoft Teams" -Category ThreatManagement -Operation FileMalwareDetected -NotifyUser "admin1@contoso.com","admin2@contoso.com"

注意:默认 严重性 值为低。 若要指定“中”或“高”,请在 命令中包含 Severity 参数和值。

有关详细的语法和参数信息,请参阅 New-ActivityAlert

如何判断这些过程生效了?

  • 若要验证是否已成功启用 SharePoint、OneDrive 和 Microsoft Teams 的安全附件,请使用以下步骤之一:

    • 在Microsoft Defender门户中,转到“策略 & 规则>威胁策略>部分>“安全附件”,选择“全局设置”,并验证“为 SharePoint、OneDrive 和 Microsoft Teams 启用Defender for Office 365”设置的值。

    • 在 Exchange Online PowerShell 中,运行以下命令以验证属性设置:

      Get-AtpPolicyForO365 | Format-List EnableATPForSPOTeamsODB
      

      有关详细语法和参数信息,请参阅 Get-AtpPolicyForO365

  • 若要验证是否已成功阻止用户下载恶意文件,请打开 SharePoint Online PowerShell,并运行以下命令来验证属性值:

    Get-SPOTenant | Format-List DisallowInfectedFileDownload
    

    有关详细语法和参数信息,请参阅 Get-SPOTenant

  • 若要验证是否已成功为检测到的文件配置警报策略,请使用以下方法之一:

    • 在 Microsoft Defender 门户中https://security.microsoft.com/alertpolicies,选择警报策略并验证设置。

    • 在“安全 & 符合性 PowerShell”中,将 AlertPolicyName> 替换为<警报策略的名称,运行以下命令,并验证属性值:

      Get-ActivityAlert -Identity "<AlertPolicyName>"
      

      有关详细语法和参数信息,请参阅 Get-ActivityAlert

  • 使用 威胁防护状态报告 查看有关 SharePoint、OneDrive 和 Microsoft Teams 中检测到的文件的信息。 具体而言,可以使用“ 查看数据依据:内容 > 恶意软件 ”视图。