Freigeben über


Migrieren zu Microsoft Defender for Office 365 – Phase 1: Vorbereiten


Phase 1: Vorbereiten.
Phase 1: Vorbereiten
Phase 2: Einrichten.
Phase 2: Einrichten
Phase 3: Onboarding.
Phase 3: Onboarding
Sie sind hier!

Willkommen bei Phase 1: Vorbereiten Ihrer Migration zu Microsoft Defender for Office 365! Diese Migrationsphase umfasst die folgenden Schritte. Sie sollten die Einstellungen zuerst bei Ihrem vorhandenen Schutzdienst inventarisieren, bevor Sie Änderungen vornehmen. Andernfalls können Sie die verbleibenden Schritte in beliebiger Reihenfolge ausführen:

  1. Inventarisieren der Einstellungen in Ihrem vorhandenen Schutzdienst
  2. Überprüfen Ihrer vorhandenen Schutzkonfiguration in Microsoft 365
  3. Überprüfen Der Konfiguration des E-Mail-Routings
  4. Verschieben von Features, die Nachrichten ändern, in Microsoft 365
  5. Definieren von Spam- und Massenbenutzererfahrungen
  6. Identifizieren und Festlegen von Prioritätskonten

Inventarisieren der Einstellungen in Ihrem vorhandenen Schutzdienst

Eine vollständige Bestandsaufnahme von Einstellungen, Regeln, Ausnahmen usw. aus Ihrem vorhandenen Schutzdienst ist eine gute Idee, da Sie wahrscheinlich keinen Zugriff auf die Informationen haben, nachdem Sie Ihr Abonnement kündigen.

Es ist jedoch sehr wichtig, dass Sie nicht automatisch oder willkürlich alle vorhandenen Anpassungen in Defender for Office 365 neu erstellen. Bestenfalls können Sie Einstellungen einführen, die nicht mehr erforderlich, relevant oder funktionsfähig sind. Schlimmer noch, einige Ihrer vorherigen Anpassungen können tatsächlich Sicherheitsprobleme in Defender for Office 365.

Ihr Testen und Beobachten der nativen Funktionen und des Verhaltens von Defender for Office 365 bestimmen letztendlich die Außerkraftsetzungen und Einstellungen, die Sie benötigen. Möglicherweise ist es hilfreich, die Einstellungen ihres vorhandenen Schutzdiensts in den folgenden Kategorien zu organisieren:

  • Filtern von Verbindungen oder Inhalten: Sie werden wahrscheinlich feststellen, dass Sie die meisten dieser Anpassungen in Defender for Office 365 nicht benötigen.
  • Geschäftsrouting: Die meisten Anpassungen, die Sie neu erstellen müssen, fallen wahrscheinlich in diese Kategorie. Beispielsweise können Sie diese Einstellungen in Microsoft 365 als Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet), Connectors und Ausnahmen für Spoofintelligenz neu erstellen.

Anstatt alte Einstellungen blind in Microsoft 365 zu verschieben, empfehlen wir einen Wasserfallansatz. Dieser Ansatz umfasst eine Pilotphase mit ständig steigender Benutzermitgliedschaft und einer beobachtungsbasierten Optimierung, die auf der Abwägung von Sicherheitsüberlegungen mit den geschäftlichen Anforderungen der Organisation basiert.

Überprüfen Ihrer vorhandenen Schutzkonfiguration in Microsoft 365

Wie bereits erwähnt, ist es unmöglich, alle Schutzfunktionen für E-Mails, die an Microsoft 365 übermittelt werden, vollständig zu deaktivieren, selbst wenn Sie einen Schutzdienst von Drittanbietern verwenden. Daher ist es nicht ungewöhnlich, dass für eine Microsoft 365-organization mindestens einige E-Mail-Schutzfunktionen konfiguriert sind. Zum Beispiel:

  • In der Vergangenheit haben Sie den Schutzdienst von Drittanbietern nicht mit Microsoft 365 verwendet. Möglicherweise haben Sie einige Schutzfeatures in Microsoft 365 verwendet und konfiguriert, die derzeit ignoriert werden. Diese Einstellungen werden jedoch möglicherweise wirksam, wenn Sie das Wählzeichen "drehen", um die Schutzfunktionen in Microsoft 365 zu aktivieren.
  • Möglicherweise verfügen Sie im Microsoft 365-Schutz für falsch positive Nachrichten (gute E-Mails, die als schlecht gekennzeichnet sind) oder falsch negative Nachrichten (ungültige E-Mails zulässig), die ihren vorhandenen Schutzdienst durchlaufen haben.

Überprüfen Sie Ihre vorhandenen Schutzfeatures in Microsoft 365, und erwägen Sie das Entfernen oder Vereinfachen von Einstellungen, die nicht mehr erforderlich sind. Eine Regel oder Richtlinieneinstellung, die vor Jahren erforderlich war, könnte die organization gefährden und unbeabsichtigte Schutzlücken schaffen.

Überprüfen Der Konfiguration des E-Mail-Routings

  • Wenn Sie komplexes Routing verwenden (z. B. zentralisierter E-Mail-Transport), sollten Sie erwägen, Das Routing zu vereinfachen und gründlich zu dokumentieren. Externe Hops, insbesondere nachdem Microsoft 365 die Nachricht bereits empfangen hat, können konfiguration und Problembehandlung erschweren.

  • Ausgehender Nachrichten- und Relay-Nachrichtenfluss liegt außerhalb des Bereichs für diesen Artikel. Möglicherweise müssen Sie jedoch einen oder mehrere der folgenden Schritte ausführen:

    • Vergewissern Sie sich, dass alle Domänen, die Sie zum Senden von E-Mails verwenden, über die richtigen SPF-Einträge verfügen. Weitere Informationen finden Sie unter Einrichten von SPF zum Verhindern von Spoofing.
    • Es wird dringend empfohlen, die DKIM-Anmeldung in Microsoft 365 einzurichten. Weitere Informationen finden Sie unter Verwenden von DKIM zum Überprüfen ausgehender E-Mails.
    • Wenn Sie E-Mails nicht direkt von Microsoft 365 weiterleiten, müssen Sie dieses Routing ändern, indem Sie den ausgehenden Connector entfernen oder ändern.
  • Die Verwendung von Microsoft 365 zum Weiterleiten von E-Mails von Ihren lokalen E-Mail-Servern kann an sich ein komplexes Projekt sein. Ein einfaches Beispiel ist eine kleine Anzahl von Apps oder Geräten, die die meisten ihrer Nachrichten an interne Empfänger senden und nicht für Massensendungen verwendet werden. Ausführliche Informationen finden Sie in diesem Leitfaden . Umfangreichere Umgebungen müssen durchdacht sein. Marketing-E-Mails und Nachrichten, die von Empfängern als Spam angesehen werden könnten, sind nicht zulässig.

  • Defender for Office 365 verfügt nicht über ein Feature zum Aggregieren von DMARC-Berichten. Besuchen Sie den MISA-Katalog (Microsoft Intelligent Security Association), um Drittanbieter anzuzeigen, die DMARC-Berichterstellung für Microsoft 365 anbieten.

Verschieben von Features, die Nachrichten ändern, in Microsoft 365

Sie müssen alle Anpassungen oder Features, die Nachrichten in irgendeiner Weise ändern, in Microsoft 365 übertragen. Beispielsweise fügt Ihr vorhandener Schutzdienst dem Betreff oder Nachrichtentext von Nachrichten von externen Absendern ein Externes Tag hinzu. Jedes Feature zum Umschließen von Links führt auch zu Problemen mit einigen Nachrichten. Wenn Sie ein solches Feature heute verwenden, sollten Sie den Rollout von Sicheren Links als Alternative priorisieren, um Probleme zu minimieren.

Wenn Sie nachrichtenänderungsfeatures in Ihrem vorhandenen Schutzdienst nicht deaktivieren, können Sie die folgenden negativen Ergebnisse in Microsoft 365 erwarten:

  • DKIM wird unterbrochen. Nicht alle Absender verlassen sich auf DKIM, aber Absender, die dies tun, schlägt die Authentifizierung fehl.
  • Spoofintelligenz und der Optimierungsschritt weiter unten in diesem Leitfaden funktionieren nicht ordnungsgemäß.
  • Sie erhalten wahrscheinlich eine hohe Anzahl falsch positiver Nachrichten (gute E-Mails, die als schlecht gekennzeichnet sind).

Um die Identifizierung externer Absender in Microsoft 365 neu zu erstellen, haben Sie die folgenden Optionen:

Microsoft arbeitet mit der Branche zusammen, um den ARC-Standard (Authenticated Received Chain) zu unterstützen. Wenn Sie nachrichtenänderungsfeatures bei Ihrem aktuellen E-Mail-Gatewayanbieter aktiviert lassen möchten, empfehlen wir Ihnen, sich über ihre Pläne zur Unterstützung dieses Standards zu informieren.

Konto für alle aktiven Phishing-Simulationen

Wenn Sie über aktive Phishingsimulationen von Drittanbietern verfügen, müssen Sie verhindern, dass die Nachrichten, Links und Anlagen von Defender for Office 365 als Phishing identifiziert werden. Weitere Informationen finden Sie unter Konfigurieren von Phishingsimulationen von Drittanbietern in der erweiterten Übermittlungsrichtlinie.

Definieren von Spam- und Massenbenutzererfahrungen

  • Quarantäne vs. Übermittlung in Junk-Email Ordner: Die natürliche und empfohlene Antwort für schädliche und definitiv riskante Nachrichten besteht darin, die Nachrichten unter Quarantäne zu stellen. Aber wie sollen Ihre Benutzer mit weniger schädlichen Nachrichten wie Spam und Massensendungen (auch als graue E-Mail bezeichnet) umgehen? Sollten diese Arten von Nachrichten an Junk-Email-Ordner des Benutzers übermittelt werden?

    Mit unseren Standard-Sicherheitseinstellungen übermitteln wir im Allgemeinen diese weniger riskanten Nachrichtentypen an den Ordner Junk Email. Dieses Verhalten ähnelt vielen E-Mail-Angeboten für Verbraucher, bei denen Benutzer ihren Junk-Email Ordner auf fehlende Nachrichten überprüfen und diese Nachrichten selbst retten können. Wenn sich der Benutzer absichtlich für einen Newsletter oder eine Marketing-E-Mail registriert hat, kann er den Absender für sein eigenes Postfach abmelden oder blockieren.

    Viele Unternehmensbenutzer sind jedoch daran gewöhnt, dass in ihrem Junk-Email-Ordner wenig (falls vorhanden) E-Mails vorhanden sind. Stattdessen sind diese Benutzer daran gewöhnt, eine Quarantäne auf ihre fehlenden Nachrichten zu überprüfen. Quarantäne führt zu Problemen mit Quarantänebenachrichtigungen, der Benachrichtigungshäufigkeit und den Berechtigungen, die zum Anzeigen und Freigeben von Nachrichten erforderlich sind.

    Letztendlich ist es Ihre Entscheidung, ob Sie die Zustellung von E-Mails an den Junk-Email Ordner zugunsten der Zustellung in Quarantäne verhindern möchten. Eines ist jedoch sicher: Wenn sich die Erfahrung in Defender for Office 365 von dem unterscheidet, was Ihre Benutzer gewohnt sind, müssen Sie sie benachrichtigen und grundlegende Schulungen anbieten. Integrieren Sie die Erkenntnisse aus dem Pilotprojekt, und stellen Sie sicher, dass Die Benutzer auf neues Verhalten bei der Zustellung von E-Mails vorbereitet sind.

  • Gewünschte Massen-E-Mail im Vergleich zu unerwünschten Massen-E-Mails: Viele Schutzsysteme ermöglichen es Benutzern, Massen-E-Mails für sich selbst zuzulassen oder zu blockieren. Diese Einstellungen lassen sich nicht einfach zu Microsoft 365 migrieren. Daher sollten Sie erwägen, mit VIPs und deren Mitarbeitern zu arbeiten, um ihre vorhandenen Konfigurationen in Microsoft 365 neu zu erstellen.

    Heutzutage betrachtet Microsoft 365 einige Massensendungen (z. B. Newsletter) basierend auf der Nachrichtenquelle als sicher. E-Mails aus diesen "sicheren" Quellen sind derzeit nicht als Massenvorgang gekennzeichnet (die Massenbeschwerdeebene oder die BCL ist 0 oder 1), sodass es schwierig ist, E-Mails aus diesen Quellen global zu blockieren. Für die meisten Benutzer besteht die Lösung darin, sie aufzufordern, diese Massennachrichten einzeln zu kündigen oder Outlook zu verwenden, um den Absender zu blockieren. Einige Benutzer mögen es jedoch nicht, Massennachrichten selbst zu blockieren oder das Abonnement aufzuheben.

    Nachrichtenflussregeln, die Massen-E-Mails filtern, können hilfreich sein, wenn VIP-Benutzer Massen-E-Mails nicht selbst verwalten möchten. Weitere Informationen finden Sie unter Verwenden von Nachrichtenflussregeln zum Filtern von Massen-E-Mails.

Identifizieren und Festlegen von Prioritätskonten

Wenn das Feature für Sie verfügbar ist, können Prioritätskonten und Benutzertags dabei helfen, Ihre wichtigen Microsoft 365-Benutzer zu identifizieren, damit sie in Berichten hervorstechen. Weitere Informationen finden Sie unter Benutzertags in Microsoft Defender for Office 365 und Verwalten und Überwachen von Prioritätskonten.

Nächster Schritt

Herzlichen Glückwunsch! Sie haben die Vorbereitungsphase Ihrer Migration zu Microsoft Defender for Office 365 abgeschlossen!