Migrer vers Microsoft Defender pour Office 365 - Phase 1 : Préparation
Phase 1 : préparation |
Phase 2 : configuration |
Phase 3 : intégration |
---|---|---|
Tu es là ! |
Bienvenue à la phase 1 : Préparer votre migration vers Microsoft Defender pour Office 365 ! Cette phase de migration comprend les étapes suivantes. Vous devez d’abord inventorier les paramètres de votre service de protection existant, avant d’apporter des modifications. Sinon, vous pouvez effectuer les étapes restantes dans n’importe quel ordre :
- Inventorier les paramètres de votre service de protection existant
- Vérifier votre configuration de protection existante dans Microsoft 365
- Vérifier la configuration de votre routage du courrier
- Déplacer les fonctionnalités qui modifient les messages dans Microsoft 365
- Définir le courrier indésirable et les expériences utilisateur en bloc
- Identifier et désigner des comptes prioritaires
Inventorier les paramètres de votre service de protection existant
Un inventaire complet des paramètres, des règles, des exceptions, etc. à partir de votre service de protection existant est une bonne idée, car vous n’aurez probablement pas accès aux informations après l’annulation de votre abonnement.
Toutefois, il est très important que vous ne recréiez pas automatiquement ou arbitrairement toutes vos personnalisations existantes dans Defender for Office 365. Au mieux, vous pouvez introduire des paramètres qui ne sont plus nécessaires, pertinents ou fonctionnels. Au pire, certaines de vos personnalisations précédentes peuvent effectivement créer des problèmes de sécurité dans Defender for Office 365.
Le test et l’observation des fonctionnalités et du comportement natifs de Defender for Office 365 déterminent en fin de compte les remplacements et les paramètres dont vous avez besoin. Il peut être utile d’organiser les paramètres de votre service de protection existant dans les catégories suivantes :
- Filtrage de la connexion ou du contenu : vous constaterez probablement que vous n’avez pas besoin de la plupart de ces personnalisations dans Defender for Office 365.
- Routage professionnel : la plupart des personnalisations que vous devez recréer appartiennent probablement à cette catégorie. Par exemple, vous pouvez recréer ces paramètres dans Microsoft 365 en tant que règles de flux de messagerie Exchange (également appelées règles de transport), connecteurs et exceptions à l’intelligence contre l’usurpation d’identité.
Au lieu de déplacer les anciens paramètres à l’aveugle dans Microsoft 365, nous vous recommandons une approche en cascade. Cette approche implique une phase pilote avec un nombre croissant d’utilisateurs et un réglage basé sur l’observation basé sur l’équilibrage des considérations de sécurité avec les besoins de l’entreprise.
Vérifier votre configuration de protection existante dans Microsoft 365
Comme nous l’avons mentionné précédemment, il est impossible de désactiver complètement toutes les fonctionnalités de protection pour les messages remis dans Microsoft 365, même lorsque vous utilisez un service de protection tiers. Il n’est donc pas rare qu’un organization Microsoft 365 dispose d’au moins certaines fonctionnalités de protection de la messagerie. Par exemple :
- Auparavant, vous n’utilisiez pas le service de protection tiers avec Microsoft 365. Vous avez peut-être utilisé et configuré certaines fonctionnalités de protection dans Microsoft 365 qui sont actuellement ignorées. Toutefois, ces paramètres peuvent prendre effet lorsque vous « tournez la numérotation » pour activer les fonctionnalités de protection dans Microsoft 365.
- Vous avez peut-être des aménagements dans la protection Microsoft 365 pour les faux positifs (bons messages marqués comme mauvais) ou les faux négatifs (courrier incorrect autorisé) qui sont passés par le biais de votre service de protection existant.
Passez en revue vos fonctionnalités de protection existantes dans Microsoft 365 et envisagez de supprimer ou de simplifier les paramètres qui ne sont plus nécessaires. Une règle ou un paramètre de stratégie qui était requis il y a des années pourrait mettre le organization en danger et créer des lacunes involontaires dans la protection.
Vérifier la configuration de votre routage du courrier
Si vous utilisez n’importe quel type de routage complexe (par exemple, le transport de courrier centralisé), vous devez envisager de simplifier votre routage et de le documenter minutieusement. Les sauts externes, en particulier une fois que Microsoft 365 a déjà reçu le message, peuvent compliquer la configuration et la résolution des problèmes.
Le flux de courrier sortant et de relais n’est pas dans le cadre de cet article. Toutefois, vous devrez peut-être effectuer une ou plusieurs des étapes suivantes :
- Vérifiez que tous les domaines que vous utilisez pour envoyer un e-mail ont les enregistrements SPF appropriés. Pour plus d’informations, consultez Configurer SPF pour prévenir l’usurpation d’identité.
- Nous vous recommandons vivement de configurer la connexion DKIM dans Microsoft 365. Pour plus d’informations, consultez Utiliser DKIM pour valider le courrier sortant.
- Si vous n’acheminez pas le courrier directement à partir de Microsoft 365, vous devez modifier ce routage en supprimant ou en modifiant le connecteur sortant.
L’utilisation de Microsoft 365 pour relayer le courrier électronique à partir de vos serveurs de messagerie locaux peut être un projet complexe en soi. Un exemple simple est un petit nombre d’applications ou d’appareils qui envoient la plupart de leurs messages à des destinataires internes et ne sont pas utilisés pour les publipostages en masse. Pour plus d’informations, consultez ce guide . Les environnements plus étendus doivent être plus réfléchis. Les e-mails marketing et les messages susceptibles d’être considérés comme du courrier indésirable par les destinataires ne sont pas autorisés.
Defender for Office 365 ne dispose pas d’une fonctionnalité pour l’agrégation des rapports DMARC. Visitez le catalogue MISA (Microsoft Intelligent Security Association) pour afficher les fournisseurs tiers qui proposent des rapports DMARC pour Microsoft 365.
Déplacer les fonctionnalités qui modifient les messages dans Microsoft 365
Vous devez transférer toutes les personnalisations ou fonctionnalités qui modifient les messages de quelque manière que ce soit dans Microsoft 365. Par exemple, votre service de protection existant ajoute une étiquette externe à l’objet ou au corps du message des messages provenant d’expéditeurs externes. Toute fonctionnalité d’habillage de lien entraîne également des problèmes avec certains messages. Si vous utilisez une telle fonctionnalité aujourd’hui, vous devez hiérarchiser le déploiement des liens fiables comme alternative pour réduire les problèmes.
Si vous ne désactivez pas les fonctionnalités de modification de message dans votre service de protection existant, vous pouvez vous attendre aux résultats négatifs suivants dans Microsoft 365 :
- DKIM s’arrête. Tous les expéditeurs ne s’appuient pas sur DKIM, mais les expéditeurs qui échouent à l’authentification.
- L’intelligence contre l’usurpation d’identité et l’étape de réglage plus loin dans ce guide ne fonctionneront pas correctement.
- Vous obtiendrez probablement un nombre élevé de faux positifs (bon courrier marqué comme mauvais).
Pour recréer l’identification de l’expéditeur externe dans Microsoft 365, vous disposez des options suivantes :
- Fonctionnalité de rappel de l’expéditeur externe Outlook, ainsi que des conseils de sécurité pour le premier contact.
- Règles de flux de messagerie (également appelées règles de transport). Pour plus d’informations, consultez Exclusions de responsabilité, signatures, pieds de page ou en-têtes de message à l’échelle de l’organisation dans Exchange Online.
Microsoft collabore avec le secteur pour prendre en charge la norme ARC (Authenticated Received Chain). Si vous souhaitez laisser les fonctionnalités de modification de message activées sur votre fournisseur de passerelle de messagerie actuel, nous vous recommandons de les contacter pour connaître leurs plans de prise en charge de cette norme.
Tenir compte des simulations de hameçonnage actives
Si vous avez des simulations de hameçonnage tierces actives, vous devez empêcher les messages, les liens et les pièces jointes d’être identifiés comme hameçonnage par Defender for Office 365. Pour plus d’informations, consultez Configurer des simulations d’hameçonnage tierces dans la stratégie de remise avancée.
Définir le courrier indésirable et les expériences utilisateur en bloc
Mise en quarantaine ou remise dans le dossier Email indésirables : la réponse naturelle et recommandée pour les messages malveillants et définitivement risqués consiste à mettre en quarantaine les messages. Mais comment voulez-vous que vos utilisateurs gèrent les messages moins dangereux, tels que le courrier indésirable, et le courrier en bloc (également appelé courrier gris) ? Ces types de messages doivent-ils être remis aux dossiers d’Email indésirables de l’utilisateur ?
Avec nos paramètres de sécurité Standard, nous livrons généralement ces types de messages moins risqués dans le dossier Email indésirables. Ce comportement est similaire à de nombreuses offres de messagerie grand public, où les utilisateurs peuvent case activée leur dossier d’Email indésirable pour les messages manquants, et ils peuvent récupérer eux-mêmes ces messages. Ou, si l’utilisateur s’est inscrit intentionnellement à un bulletin d’informations ou à un courrier marketing, il peut choisir de se désabonner ou de bloquer l’expéditeur pour sa propre boîte aux lettres.
Toutefois, de nombreux utilisateurs d’entreprise sont habitués à peu (le cas échéant) le courrier dans leur dossier de Email indésirable. Au lieu de cela, ces utilisateurs sont habitués à vérifier la mise en quarantaine de leurs messages manquants. La mise en quarantaine introduit des problèmes de notifications de mise en quarantaine, de fréquence de notification et d’autorisations requises pour afficher et publier des messages.
En fin de compte, il est de votre choix si vous souhaitez empêcher la remise d’e-mails dans le dossier Email indésirable en faveur d’une remise en quarantaine. Mais une chose est certaine : si l’expérience dans Defender for Office 365 est différente de celle à laquelle vos utilisateurs sont habitués, vous devez les informer et leur fournir une formation de base. Incorporez les enseignements du pilote et assurez-vous que les utilisateurs sont prêts à tout nouveau comportement pour la remise des e-mails.
Courrier en bloc souhaité par rapport au courrier en bloc indésirable : de nombreux systèmes de protection permettent aux utilisateurs d’autoriser ou de bloquer le courrier en bloc pour eux-mêmes. Ces paramètres ne migrent pas facilement vers Microsoft 365. Vous devez donc envisager de travailler avec des adresses IP virtuelles et leur personnel pour recréer leurs configurations existantes dans Microsoft 365.
Aujourd’hui, Microsoft 365 considère que certains messages en bloc (par exemple, les bulletins d’informations) sont sécurisés en fonction de la source du message. Le courrier provenant de ces sources « sûres » n’est actuellement pas marqué comme étant en bloc (le niveau de plainte en bloc ou BCL est 0 ou 1), il est donc difficile de bloquer globalement le courrier provenant de ces sources. Pour la plupart des utilisateurs, la solution consiste à leur demander de se désabonner individuellement de ces messages en bloc ou d’utiliser Outlook pour bloquer l’expéditeur. Toutefois, certains utilisateurs n’aiment pas eux-mêmes bloquer ou se désabonner des messages en bloc.
Les règles de flux de courrier qui filtrent les e-mails en bloc peuvent être utiles lorsque les utilisateurs d’adresses IP virtuelles ne souhaitent pas gérer eux-mêmes le courrier en bloc. Pour plus d’informations, consultez Utiliser des règles de flux de courrier pour filtrer le courrier électronique en bloc.
Identifier et désigner des comptes prioritaires
Si la fonctionnalité est disponible, les comptes prioritaires et les balises utilisateur peuvent vous aider à identifier vos utilisateurs Microsoft 365 importants afin qu’ils se démarquent dans les rapports. Pour plus d’informations, consultez Balises utilisateur dans Microsoft Defender pour Office 365 et Gérer et surveiller les comptes prioritaires.
Étape suivante
Félicitations ! Vous avez terminé la phase de préparation de votre migration vers Microsoft Defender pour Office 365 !
- Passez à la phase 2 : Configuration.