Eseguire la migrazione a Microsoft Defender per Office 365 - Fase 1: Preparazione

• Si applica a:

  ✅ Microsoft Defender for Office 365 Plan 2

Fase 1: preparazione	Fase 2: configurazione	Phase 3: onboarding
Sei qui!

Introduzione alla fase 1: preparare la migrazione a Microsoft Defender per Office 365. Questa fase di migrazione include i passaggi seguenti. Prima di apportare modifiche, è necessario eseguire prima l'inventario delle impostazioni nel servizio di protezione esistente. In caso contrario, è possibile eseguire i passaggi rimanenti in qualsiasi ordine:

1. Inventariare le impostazioni nel servizio di protezione esistente
2. Controllare la configurazione di protezione esistente in Microsoft 365
3. Controllare la configurazione del routing della posta elettronica
4. Spostare le funzionalità che modificano i messaggi in Microsoft 365
5. Definire esperienze utente indesiderata e in blocco
6. Identificare e designare gli account prioritari

Inventariare le impostazioni nel servizio di protezione esistente

Un inventario completo di impostazioni, regole, eccezioni e così via dal servizio di protezione esistente è una buona idea, perché probabilmente non si avrà accesso alle informazioni dopo l'annullamento della sottoscrizione.

Tuttavia, è molto importante non ricreare automaticamente o arbitrariamente tutte le personalizzazioni esistenti in Defender per Office 365. Nella migliore delle ipotesi, è possibile introdurre impostazioni non più necessarie, rilevanti o funzionali. Peggio ancora, alcune delle personalizzazioni precedenti potrebbero effettivamente creare problemi di sicurezza in Defender per Office 365.

Il test e l'osservazione delle funzionalità e del comportamento nativi di Defender per Office 365 determinano infine le sostituzioni e le impostazioni necessarie. Potrebbe essere utile organizzare le impostazioni del servizio di protezione esistente nelle categorie seguenti:

• Filtro della connessione o del contenuto: probabilmente non è necessaria la maggior parte di queste personalizzazioni in Defender per Office 365.
• Routing aziendale: la maggior parte delle personalizzazioni che è necessario ricreare rientrano probabilmente in questa categoria. Ad esempio, è possibile ricreare queste impostazioni in Microsoft 365 come regole del flusso di posta di Exchange (note anche come regole di trasporto), connettori ed eccezioni all'intelligence per lo spoofing.

Invece di spostare le impostazioni precedenti alla cieca in Microsoft 365, è consigliabile usare un approccio a cascata. Questo approccio prevede una fase pilota con appartenenza agli utenti in continua crescita e ottimizzazione basata sull'osservazione basata sul bilanciamento delle considerazioni di sicurezza con le esigenze aziendali dell'organizzazione.

Controllare la configurazione di protezione esistente in Microsoft 365

Come indicato in precedenza, è impossibile disattivare completamente tutte le funzionalità di protezione per la posta recapitata in Microsoft 365, anche quando si usa un servizio di protezione di terze parti. Pertanto, non è insolito che un'organizzazione di Microsoft 365 abbia almeno alcune funzionalità di protezione della posta elettronica configurate. Ad esempio:

• In passato non si usava il servizio di protezione di terze parti con Microsoft 365. È possibile che in Microsoft 365 siano state usate e configurate alcune funzionalità di protezione attualmente ignorate. Ma queste impostazioni potrebbero avere effetto quando si "gira il quadrante" per abilitare le funzionalità di protezione in Microsoft 365.
• È possibile che si disponga di sistemazioni nella protezione di Microsoft 365 per falsi positivi (posta buona contrassegnata come non valida) o falsi negativi (posta non valida consentita) che hanno superato il servizio di protezione esistente.You might have accommodations in Microsoft 365 protection for false positives (good mail marked as bad) or false negatives (bad mail allowed) that made it through your existing protection service.

Esaminare le funzionalità di protezione esistenti in Microsoft 365 e prendere in considerazione la rimozione o la semplificazione delle impostazioni non più necessarie. Una regola o un'impostazione di criteri necessaria anni fa potrebbe mettere a rischio l'organizzazione e creare lacune involontarie nella protezione.

Controllare la configurazione del routing della posta elettronica

• Se si usa qualsiasi tipo di routing complesso, ad esempio Trasporto posta centralizzato, è consigliabile semplificare il routing e documentarlo accuratamente. Gli hop esterni, soprattutto dopo che Microsoft 365 ha già ricevuto il messaggio, possono complicare la configurazione e la risoluzione dei problemi.

• Il flusso di posta in uscita e di inoltro non rientra nell'ambito di questo articolo. Tuttavia, potrebbe essere necessario eseguire una o più delle operazioni seguenti:

  • Verificare che tutti i domini usati per inviare messaggi di posta elettronica dispongano dei record SPF appropriati. Per altre informazioni, vedere Configurare SPF per prevenire lo spoofing.
  • È consigliabile configurare l'accesso DKIM in Microsoft 365. Per altre informazioni, vedere Usare DKIM per convalidare la posta elettronica in uscita.
  • Se non si esegue il routing della posta direttamente da Microsoft 365, è necessario modificare tale routing rimuovendo o modificando il connettore in uscita.

• L'uso di Microsoft 365 per inoltrare la posta elettronica dai server di posta elettronica locali può essere di per sé un progetto complesso. Un semplice esempio è costituito da un numero ridotto di app o dispositivi che inviano la maggior parte dei messaggi ai destinatari interni e non vengono usati per i messaggi di massa. Per informazioni dettagliate, vedere questa guida . Gli ambienti più estesi devono essere più ponderati. I messaggi e i messaggi di marketing che potrebbero essere considerati come posta indesiderata dai destinatari non sono consentiti.

• Defender per Office 365 non dispone di una funzionalità per l'aggregazione dei report DMARC. Visitare il catalogo MISA (Microsoft Intelligent Security Association) per visualizzare i fornitori di terze parti che offrono report DMARC per Microsoft 365.

Spostare le funzionalità che modificano i messaggi in Microsoft 365

È necessario trasferire qualsiasi personalizzazione o funzionalità che modificano i messaggi in qualsiasi modo in Microsoft 365. Ad esempio, il servizio di protezione esistente aggiunge un tag External all'oggetto o al corpo del messaggio dei messaggi provenienti da mittenti esterni. Qualsiasi funzionalità di wrapping dei collegamenti causerà anche problemi con alcuni messaggi. Se si usa una funzionalità di questo tipo, è consigliabile assegnare priorità all'implementazione dei collegamenti sicuri come alternativa per ridurre al minimo i problemi.

Se non si disattivano le funzionalità di modifica dei messaggi nel servizio di protezione esistente, è possibile aspettarsi i risultati negativi seguenti in Microsoft 365:

• DKIM si interromperà. Non tutti i mittenti si basano su DKIM, ma i mittenti che non riescono a eseguire l'autenticazione.
• L'intelligence per spoofing e il passaggio di ottimizzazione più avanti in questa guida non funzioneranno correttamente.
• Probabilmente si otterrà un numero elevato di falsi positivi (buona posta contrassegnata come non valida).

Per ricreare l'identificazione del mittente esterno in Microsoft 365, sono disponibili le opzioni seguenti:

• La funzionalità di call-out del mittente esterno di Outlook, insieme ai suggerimenti per la sicurezza del primo contatto.
• Regole del flusso di posta (note anche come regole di trasporto). Per altre informazioni, vedere Dichiarazioni di responsabilità, firme, piè di pagina o intestazioni di messaggi a livello di organizzazione in Exchange Online.

Microsoft collabora con il settore per supportare lo standard ARC (Authenticated Received Chain). Se si desidera lasciare abilitate le funzionalità di modifica dei messaggi presso il provider del gateway di posta corrente, è consigliabile contattarle in merito ai piani per supportare questo standard.

Account per eventuali simulazioni di phishing attive

Se si dispone di simulazioni di phishing di terze parti attive, è necessario impedire che i messaggi, i collegamenti e gli allegati vengano identificati come phishing da Defender per Office 365. Per altre informazioni, vedere Configurare simulazioni di phishing di terze parti nei criteri di recapito avanzati.

Definire esperienze utente indesiderata e in blocco

• Quarantine vs. deliver to Junk Email folder:The natural and recommended response for malicious and definitely risky messages is to quarantine the messages. Ma come si desidera che gli utenti gestiscano messaggi meno dannosi, ad esempio posta indesiderata e posta in blocco (nota anche come posta grigia)? Questi tipi di messaggi devono essere recapitati alle cartelle Email indesiderata dell'utente?

  Con le impostazioni di sicurezza Standard, in genere questi tipi di messaggi meno rischiosi vengono recapitati nella cartella Posta indesiderata Email. Questo comportamento è simile a molte offerte di posta elettronica consumer, in cui gli utenti possono controllare la cartella Posta indesiderata Email per i messaggi mancanti e possono salvare i messaggi stessi. In alternativa, se l'utente si è iscritto intenzionalmente a una newsletter o a un messaggio di marketing, può scegliere di annullare la sottoscrizione o bloccare il mittente per la propria cassetta postale.

  Tuttavia, molti utenti aziendali sono abituati a pochi (se presenti) messaggi nella cartella Posta indesiderata Email. Questi utenti vengono invece usati per verificare la presenza di messaggi mancanti in una quarantena. La quarantena introduce i problemi relativi alle notifiche di quarantena, alla frequenza delle notifiche e alle autorizzazioni necessarie per visualizzare e rilasciare i messaggi.

  In definitiva, è la tua decisione se vuoi impedire il recapito della posta elettronica alla cartella Junk Email a favore del recapito in quarantena. Tuttavia, una cosa è certa: se l'esperienza in Defender per Office 365 è diversa da quella a cui sono abituati gli utenti, è necessario notificarli e fornire formazione di base. Incorporare le conoscenze del progetto pilota e assicurarsi che gli utenti siano preparati per qualsiasi nuovo comportamento per il recapito della posta elettronica.

• Posta in blocco desiderata e posta bulk indesiderata: molti sistemi di protezione consentono agli utenti di consentire o bloccare la posta elettronica in blocco per se stessi. Queste impostazioni non consentono di eseguire facilmente la migrazione a Microsoft 365, quindi è consigliabile collaborare con i VIP e il personale per ricreare le configurazioni esistenti in Microsoft 365.

  Attualmente, Microsoft 365 considera sicuri alcuni messaggi di posta in blocco (ad esempio, newsletter) in base all'origine del messaggio. La posta da queste origini "sicure" non è attualmente contrassegnata come bulk (il livello di reclamo bulk o BCL è 0 o 1), quindi è difficile bloccare a livello globale la posta da queste origini. Per la maggior parte degli utenti, la soluzione consiste nel chiedere loro di annullare singolarmente la sottoscrizione a questi messaggi in blocco o di usare Outlook per bloccare il mittente. Tuttavia, ad alcuni utenti non piace bloccare o annullare la sottoscrizione da messaggi in blocco.

  Le regole del flusso di posta che filtrano la posta elettronica in blocco possono essere utili quando gli utenti VIP non vogliono gestire la posta elettronica in blocco. Per altre informazioni, vedere Usare le regole del flusso di posta elettronica per filtrare la posta elettronica in blocco.

Identificare e designare gli account prioritari

Se la funzionalità è disponibile, gli account con priorità e i tag utente possono aiutare a identificare gli utenti importanti di Microsoft 365 in modo che si distinchino nei report. Per altre informazioni, vedere Tag utente in Microsoft Defender per Office 365 e Gestire e monitorare gli account con priorità.

Passaggio successivo

Congratulazioni! È stata completata la fase di preparazione della migrazione a Microsoft Defender per Office 365.

• Passare alla fase 2: Configurazione.