Safe Attachments trên Microsoft 365 – Tính năng và cách cấu hình

Microsoft 365 xử lý một lượng lớn tập tin mỗi ngày. Hầu hết chúng vô hại, nhưng một số chứa các mối đe dọa tiềm ẩn mà từ bên ngoài không thể nhận ra.

Safe Attachments giúp phát hiện những rủi ro đó từ sớm.Nó mở các tệp đáng ngờ bên trong một môi trường bảo mật và theo dõi cách chúng hoạt động trước khi bất kỳ ai tương tác với chúng.

Trong bài viết này, hãy cùng Tri Thức Software tìm hiểu cách Microsoft 365 Safe Attachments sử dụng công nghệ hộp cát để phát hiện phần mềm độc hại ẩn, bảo mật email và tập tin, đồng thời bảo vệ tổ chức của bạn khỏi các mối đe dọa nâng cao.

Safe Attachments trên Microsoft 365 – Tính năng và cách sử dụng

Safe Attachments đặc biệt hiệu quả trong việc chống lại:

tài liệu có chứa phần mềm độc hại được nhúng hoặc thực thi trì hoãn.
các tập tin ẩn chứa các đoạn mã độc hại bên trong các định dạng thông thường.
các tệp đính kèm độc hại được chia sẻ qua email, Teams hoặc bộ nhớ đám mây

Bằng cách thêm lớp kiểm tra sâu hơn này, Microsoft 365 có thể chặn các tệp nguy hiểm trước khi chúng đến hộp thư đến hoặc các vị trí chia sẻ, giảm nguy cơ bị tấn công bằng mã độc tống tiền, đánh cắp thông tin đăng nhập hoặc truy cập dữ liệu trái phép.

Vì sao phần mềm diệt virus truyền thống không đủ

Hướng dẫn thiết lập tệp đính kèm an toàn trong Microsoft 365

Cách Safe Attachments phát hiện phần mềm độc hại bằng cách sử dụng kỹ thuật hộp cát (sandboxing).

Điều kiện tiên quyết và plan

Tính năng Tệp đính kèm an toàn có sẵn trong Microsoft Defender for Office 365 Plan 1 và Plan 2.

Gói 1 bao gồm bảo vệ dựa trên email.
Gói 2 bổ sung các tính năng tự động hóa nâng cao và các công cụ điều tra mối đe dọa toàn diện hơn.

Các gói dịch vụ này được bao gồm trong các bộ sản phẩm như Microsoft 365 E5, hoặc có thể được thêm vào E3 và các gói đăng ký khác.

Để cấu hình Tệp đính kèm an toàn, bạn cần một trong những vai trò sau:

Global Administrator
Security Administrator

Trước khi xây dựng bất kỳ chính sách nào, điều quan trọng là phải quyết định đối tượng nào nên được ưu tiên áp dụng.
Hầu hết các tổ chức bắt đầu với một chính sách cơ bản áp dụng cho toàn tổ chức, sau đó bổ sung các chính sách nghiêm ngặt hơn cho người dùng có rủi ro cao hoặc các bộ phận nhạy cảm.

Việc triển khai theo từng giai đoạn cũng giúp tránh những bất ngờ. Việc bật tính năng này cho một nhóm thí điểm trước tiên cho phép bạn có thời gian để kiểm tra tác động trước khi áp dụng rộng rãi.

Bước 1: Mở Cổng thông tin Microsoft 365 Defender

Truy cập cổng thông tin Microsoft Defender tại https://security.microsoft.com và đăng nhập bằng tài khoản quản trị viên của bạn.
Trên giao diện chọn Email & collaboration → Policies & rules → Threat policies.

Cổng thông tin Microsoft Defender với tùy chọn Email & Cộng tác → Chính sách & Quy tắc → Chính sách mối đe dọa được tô sáng.

Chọn Safe Attachments trong mục Threat Policies.

Trang chính sách về mối đe dọa hiển thị tùy chọn Tệp đính kèm an toàn trong phần Chính sách.

Bước 2: Bật tính năng Đính kèm an toàn cho SharePoint, OneDrive và Teams

Mở Global Settings trong mục Tệp đính kèm An toàn.

Bạn sẽ thấy các nút chuyển đổi để bật tính năng bảo vệ trên SharePoint, OneDrive và Teams.

Một số người dùng đã tắt tính năng này theo mặc định, vì vậy bạn nên kiểm tra ngay cả khi môi trường của bạn là mới.

Việc bật tính năng này đảm bảo các tệp được tải lên hoặc chia sẻ giữa người dùng sẽ được quét trong môi trường sandbox trước khi bất kỳ ai mở chúng.

Nếu bạn có giấy phép E5, bạn cũng có thể bật Chế độ Tài liệu An toàn, cho phép mở các tệp Office ở chế độ được bảo vệ cho đến khi chúng được xác minh hoàn toàn.

Tính năng này không bắt buộc đối với Tệp đính kèm an toàn, nhưng nó bổ sung thêm một lớp bảo mật cho các ứng dụng Office.

Bảng cài đặt toàn cầu về Tệp đính kèm an toàn với nút bật/tắt tính năng bảo vệ của Defender trong SharePoint, OneDrive và Teams.

Bước 3: Tạo chính sách về tệp đính kèm an toàn cho email

Trên trang Safe Attachments > chọn+ Create để bắt đầu trình hướng dẫn thiết lập chính sách Tệp đính kèm an toàn mới.

Trang Tệp đính kèm an toàn hiển thị nút Tạo để thêm chính sách mới.

Tên & Mô tả
Nhập một tên duy nhất, mô tả rõ ràng cho chính sách, ví dụ như Chính sách về các vật dụng đính kèm trong két an toàn của công ty . Điều này giúp phân biệt các chính sách sau này.

Nhập mô tả tùy chọn cho chính sách.

Trang tạo chính sách Tệp đính kèm an toàn hiển thị các trường Tên và Mô tả

Phạm vi (Người nhận)
Áp dụng chính sách cho Tất cả người nhận nếu bạn muốn phạm vi bao phủ rộng.
Microsoft đã tích hợp sẵn tính năng bảo vệ cho người dùng chưa được chỉ định, nhưng việc tạo chính sách riêng sẽ cho phép bạn kiểm soát tốt hơn.

MẸO: Để trống các trường Người dùng, Nhóm và Tên miền để tạo chính sách áp dụng cho tất cả người nhận.

Các tên miền phụ được tự động bao gồm trừ khi bạn loại trừ chúng một cách cụ thể. Ví dụ, một chính sách bao gồm contoso.com cũng bao gồm marketing.contoso.com trừ khi bạn loại trừ marketing.contoso.com.

Bộ lọc để bao gồm hoặc loại trừ người dùng, nhóm và miền khỏi chính sách.

Trên trang Cài đặt, hãy cấu hình các thiết lập Tệp đính kèm an toàn sau:

Tắt
Giám sát
Chặn: Giá trị này là giá trị mặc định và được sử dụng trong các chính sách bảo mật thiết lập sẵn Tiêu chuẩn và Nghiêm ngặt.
Gửi tin nhắn động (Xem trước tin nhắn)

Phản hồi phần mềm độc hại không xác định

Đây là điểm quyết định. Các lựa chọn chính là:

Phân phối động:Người dùng nhận được email nhanh chóng trong khi các tệp đính kèm được quét ở chế độ nền. Một hình ảnh giữ chỗ sẽ xuất hiện cho đến khi tệp được xử lý xong.
Chặn: Các email có chứa tệp đính kèm đáng ngờ sẽ bị giữ lại cho đến khi quá trình quét hoàn tất hoặc được chuyển vào khu vực cách ly.

Chế độ gửi động (Dynamic Delivery) là một lựa chọn cân bằng cho hầu hết các môi trường, đặc biệt khi bạn muốn bảo vệ mà không làm chậm luồng thư.
Chế độ chặn (Blocking) mang lại mức độ bảo mật tối đa nhưng có thể làm chậm quá trình gửi thư.

Feature / Behavior	Dynamic Delivery	Block Mode
Email body delivery	Instant	Delayed
Attachment availability	After sandbox approval	After sandbox approval
User experience	Placeholder added	Email fully held
Best for	Fast email flow, minimal disruption	Maximum protection
Risk of confusion	Very low	Medium (delayed email visibility)
Recommended for	All standard users	VIPs, finance, HR, security teams

Cài đặt cách ly

Sử dụng chế độ cách ly mặc định AdminOnlyAccess để quản lý đơn giản và dễ dàng.
Các tính năng chuyển hướng cũ liên quan đến chế độ Giám sát đã bị loại bỏ, vì vậy bạn có thể bỏ qua chúng một cách an toàn.

Lưu chính sách để áp dụng.
Các thay đổi thường có hiệu lực trong vòng 30 phút, mặc dù một số người dùng có thể mất nhiều thời gian hơn để được áp dụng đầy đủ.

Màn hình cài đặt Tệp đính kèm an toàn với các tùy chọn phản hồi phần mềm độc hại và menu thả xuống chính sách cách ly.

Bước 4: Xem xét, kiểm thử và triển khai

Trên trang Review hãy xem lại các cài đặt của bạn. Bạn có thể chọn Edit trong mỗi mục để sửa đổi các cài đặt trong mục đó. Hoặc bạn có thể chọn Back hoặc trang cụ thể trong trình hướng dẫn.

Khi bạn hoàn tất trang Review > Submit

Hãy thử nghiệm chính sách với một nhóm thí điểm nhỏ trước khi áp dụng cho toàn bộ người dùng.
Gửi một tệp phần mềm độc hại thử nghiệm vô hại (như chuỗi kiểm tra EICAR) để xác minh hành vi.

Nếu tính năng Phân phối động được bật, bạn sẽ thấy:

email đến bình thường
một hình ảnh giữ chỗ thay cho tệp đính kèm
Tệp đính kèm cuối cùng sẽ xuất hiện sau khi quá trình quét hoàn tất.

Nếu tập tin đó độc hại, nó sẽ được đưa ngay vào khu vực cách ly và một cảnh báo sẽ hiện lên cho quản trị viên.

Việc kiểm tra giúp xác nhận rằng tính năng Đính kèm An toàn đang hoạt động và mang lại cho người dùng trải nghiệm triển khai mượt mà hơn.

Cơ chế hoạt động của Safe Attachments – Hiểu về Sandboxing và “Detonation”

Quy trình xử lý email (Cách Safe Attachments quét tệp đính kèm)

Khi nhận được email có tệp đính kèm, tính năng Tệp đính kèm an toàn sẽ bổ sung thêm một lớp kiểm tra chuyên sâu hơn so với quá trình quét phần mềm độc hại tiêu chuẩn.

Quét phần mềm độc hại ban đầu:
Exchange Online Protection kiểm tra tệp tin để tìm bất kỳ mối đe dọa nào đã biết.
Giải mã trong môi trường sandbox:
Nếu tệp không được nhận dạng, nó sẽ được sao chép vào một môi trường sandbox an toàn, nơi nó có thể được mở một cách an toàn.
Phân tích hành vi:
Môi trường thử nghiệm (sandbox) quan sát những gì tệp tin cố gắng thực hiện — chạy các tập lệnh, thay đổi cài đặt, tải xuống phần mềm độc hại hoặc thả các tệp ẩn.
Kết luận:
Nếu tệp tin độc hại, nó sẽ bị chặn.
Nếu là tệp tin an toàn, nó sẽ được gửi bình thường hoặc được đính kèm lại nếu bạn đang sử dụng tính năng Gửi động (Dynamic Delivery).

Hầu hết các lần quét hoàn tất trong vài phút, với thời gian tối đa khoảng 15 phút.

Quy trình làm việc email trong Tệp đính kèm an toàn

Quy trình làm việc của SharePoint, OneDrive và Teams

Safe Attachments không chỉ quét email mà quy trình bảo mật của nó còn áp dụng cho các tệp được lưu trữ hoặc chia sẻ trong SharePoint, OneDrive và Teams.
Quy trình làm việc tương tự, nhưng các yếu tố kích hoạt và kết quả có một chút khác biệt.

Quét ban đầu bằng công cụ chống virus của Microsoft:
Khi một tệp được tải lên, trình quét virus tích hợp của Microsoft sẽ kiểm tra các mối đe dọa đã biết.
Nếu tệp đó đã được xác định là độc hại, quyền truy cập sẽ bị chặn dựa trên các quy tắc chống virus tiêu chuẩn.
Kích hoạt hộp cát (Sandbox Detonation) do hoạt động của người dùng gây ra.
Không giống như email, việc kích hoạt hộp cát không xảy ra ngay khi tệp được tải lên.
Nó được kích hoạt khi tệp:

chia sẻ với ai đó
được truy cập bởi người dùng
Đã mở trong Teams hoặc xem trước
được truy cập bởi khách

Điều này giúp duy trì hiệu suất mượt mà đồng thời phát hiện các mối đe dọa trước khi chúng lan rộng.

Phân tích hành vi trong môi trường thử nghiệm (Sandbox):
Tệp được mở trong một môi trường ảo, tương tự như quy trình làm việc của email.
Môi trường thử nghiệm sẽ tìm kiếm:

các tập lệnh nhúng
hành vi thả tập tin
nỗ lực sửa đổi các khu vực hệ thống
các cuộc gọi đến URL đáng ngờ

Nếu phát hiện bất kỳ hành vi gây hại nào, tệp tin sẽ ngay lập tức được đánh dấu là không an toàn.

Kết luận:
Nếu tập tin chứa mã độc, tính năng “Đính kèm an toàn” sẽ khóa nó.
Điều này có nghĩa là:

Nó không thể mở được.
Không được sao chép hoặc chia sẻ lại.
Nó hiển thị biểu tượng “bị chặn” trong SharePoint/Teams.
Người dùng vẫn có thể xóa nó.

Theo mặc định, người dùng có thể tải xuống các tệp bị chặn — điều này tiềm ẩn rủi ro.

Trải nghiệm người dùng
Trong SharePoint, người dùng thấy biểu tượng cảnh báo trên tệp và nhận được thông báo lỗi nếu họ cố gắng mở tệp đó.
Trong Teams, các tệp bị chặn không hiển thị bản xem trước hoặc trả về thông báo cho biết chúng không an toàn.

Quy trình làm việc của SharePoint, OneDrive và Teams trong tính năng Đính kèm an toàn

Hầu hết quản trị viên đều bỏ qua điều này: Việc tải xuống các tập tin bị nhiễm virus được cho phép trừ khi bạn vô hiệu hóa chức năng này.

Tổng kết

Vậy là tôi vừa giải thích xong cho bạn Safe Attachments trên Microsoft 365 – Tính năng và cách cấu hình. Nếu gặp bất kỳ khó khăn nào trong quá trình thực hiện, bạn có thể liên hệ banquyenphanmem.com hoặc gọi số 028.22443013 để được trợ giúp. Với các hướng dẫn trên, chúng tôi hy vọng bạn đã giải quyết được nhu cầu của mình một cách nhanh chóng và hiệu quả.