Microsoft Defender for Office 365への移行 - フェーズ 1: 準備

• 適用対象:

  ✅ Microsoft Defender for Office 365 Plan 2

フェーズ 1: 準備	フェーズ 2: 設定	フェーズ 3: オンボード
あなたはここにいます!

フェーズ 1:Microsoft Defender for Office 365への移行の準備へようこそ。 この移行フェーズには、次の手順が含まれます。 変更を行う前に、まず既存の保護サービスで設定をインベントリする必要があります。 それ以外の場合は、残りの手順を任意の順序で実行できます。

1. 既存の保護サービスで設定をインベントリする
2. Microsoft 365 で既存の保護構成を確認する
3. メール ルーティングの構成を確認する
4. メッセージを変更する機能を Microsoft 365 に移動する
5. スパムと一括ユーザー エクスペリエンスを定義する
6. 優先度アカウントを特定して指定する

既存の保護サービスで設定をインベントリする

既存の保護サービスの設定、ルール、例外などの完全なインベントリは、サブスクリプションを取り消した後に情報にアクセスできない可能性があるため、お勧めします。

ただし、Defender for Office 365で既存のすべてのカスタマイズを自動的または任意に再作成しないことが非常に重要です。 せいぜい、不要になった、関連する、または機能しない設定を導入する場合があります。 さらに悪いことに、以前のカスタマイズの一部では、実際にはDefender for Office 365でセキュリティの問題が発生する可能性があります。

Defender for Office 365のネイティブ機能と動作のテストと観察によって、最終的に必要なオーバーライドと設定が決まります。 既存の保護サービスの設定を次のカテゴリに整理すると便利な場合があります。

• 接続またはコンテンツのフィルター処理: Defender for Office 365でこれらのカスタマイズのほとんどは必要ない場合があります。
• ビジネス ルーティング: 再作成する必要があるほとんどのカスタマイズは、おそらくこのカテゴリに分類されます。 たとえば、Microsoft 365 でこれらの設定を Exchange メール フロー ルール (トランスポート ルールとも呼ばれます)、コネクタ、スプーフィング インテリジェンスの例外として再作成できます。

古い設定を Microsoft 365 に盲目的に移動する代わりに、ウォーターフォール アプローチをお勧めします。 このアプローチには、ユーザー メンバーシップが増え続けるパイロット フェーズと、セキュリティに関する考慮事項と組織のビジネス ニーズのバランスに基づく監視ベースのチューニングが含まれます。

Microsoft 365 で既存の保護構成を確認する

前述したように、サード パーティの保護サービスを使用している場合でも、Microsoft 365 に配信されるメールのすべての保護機能を完全にオフにすることは不可能です。 そのため、Microsoft 365 organizationで少なくとも一部の電子メール保護機能が構成されているのは珍しいことではありません。 以下に例を示します。

• 以前は、Microsoft 365 でサード パーティの保護サービスを使用していません。 現在無視されている一部の保護機能を Microsoft 365 で使用して構成している可能性があります。 ただし、これらの設定は、Microsoft 365 で保護機能を有効にするために "ダイヤルを回す" と有効になる可能性があります。
• Microsoft 365 保護では、既存の保護サービスを通じて誤検知 (不適切とマークされた良好なメール) または誤検知 (不適切なメールが許可) に対応している可能性があります。

Microsoft 365 の既存の保護機能を確認し、不要になった設定を削除または簡略化することを検討してください。 何年も前に必要だったルールまたはポリシー設定により、organizationが危険にさらされ、意図しない保護のギャップが生じる可能性があります。

メール ルーティングの構成を確認する

• 任意の種類の複雑なルーティング (たとえば、 一元化されたメール トランスポート) を使用している場合は、ルーティングを簡素化し、完全に文書化することを検討する必要があります。 特に Microsoft 365 が既にメッセージを受信した後の外部ホップは、構成とトラブルシューティングを複雑にする可能性があります。

• 送信とリレーのメール フローは、この記事の範囲外です。 ただし、次の手順の 1 つ以上を実行する必要がある場合があります。

  • メールの送信に使用するすべてのドメインに適切な SPF レコードがあることを確認します。 詳細については、「SPF を設定して、スプーフィングを防止する」を参照してください。
  • Microsoft 365 で DKIM 署名を設定することを強くお勧めします。 詳細については、「 DKIM を使用して送信メールを検証する」を参照してください。
  • Microsoft 365 からメールを直接ルーティングしない場合は、送信コネクタを削除または変更して、そのルーティングを変更する必要があります。

• Microsoft 365 を使用して、オンプレミスの電子メール サーバーからメールを中継することは、それ自体が複雑なプロジェクトになる可能性があります。 簡単な例は、メッセージの大部分を内部受信者に送信し、大量の郵送には使用しないアプリやデバイスの数が少ない場合です。 詳細については 、このガイド を参照してください。 より広範な環境は、より思慮深くする必要があります。 受信者によってスパムと見なされる可能性のあるマーケティングメールやメッセージは許可されません。

• Defender for Office 365には、DMARC レポートを集計するための機能がありません。 Microsoft 365 の DMARC レポートを提供するサード パーティベンダーについては、 Microsoft Intelligent Security Association (MISA) カタログ を参照してください。

メッセージを変更する機能を Microsoft 365 に移動する

メッセージを変更するカスタマイズや機能を Microsoft 365 に転送する必要があります。 たとえば、既存の保護サービスは 、外部 送信者からのメッセージの件名またはメッセージ本文に External タグを追加します。 リンク ラッピング機能を使用すると、一部のメッセージでも問題が発生します。 このような機能を現在使用している場合は、問題を最小限に抑えるための代替手段として、安全なリンクのロールアウトに優先順位を付ける必要があります。

既存の保護サービスでメッセージ変更機能をオフにしない場合は、Microsoft 365 で次の負の結果が発生する可能性があります。

• DKIM が壊れます。 すべての送信者が DKIM に依存しているわけではありませんが、認証に失敗する送信者です。
• このガイドの後半のスプーフィング インテリジェンスとチューニング 手順は正しく機能しません。
• 多くの誤検知が発生する可能性があります (良いメールは悪いとマークされています)。

Microsoft 365 で外部送信者識別を再作成するには、次のオプションがあります。

• Outlook 外部送信者のコールアウト機能と、最初の連絡先の安全に関するヒント。
• メール フロー ルール (トランスポート ルールとも呼ばれます)。 詳細については、「Exchange Onlineの組織全体のメッセージ免責事項、署名、フッター、またはヘッダー」を参照してください。

Microsoft は業界と協力して、認証済み受信チェーン (ARC) 標準をサポートしています。 現在のメール ゲートウェイ プロバイダーでメッセージ変更機能を有効のままにする場合は、この標準をサポートするプランについて連絡することをお勧めします。

アクティブなフィッシング シミュレーションのアカウント

アクティブなサード パーティ製フィッシング シミュレーションがある場合は、メッセージ、リンク、添付ファイルがDefender for Office 365によってフィッシングとして識別されないようにする必要があります。 詳細については、「 高度な配信ポリシーでサード パーティ製のフィッシング シミュレーションを構成する」を参照してください。

スパムと一括ユーザー エクスペリエンスを定義する

• 検疫と迷惑メール Email フォルダーへの配信: 悪意のある、確実に危険なメッセージに対する自然で推奨される応答は、メッセージを検疫することです。 しかし、スパムや一括メール ( 灰色のメールとも呼ばれます) など、有害なメッセージが少ないメッセージをユーザーがどのように処理しますか? これらの種類のメッセージは、ユーザーの迷惑メール Email フォルダーに配信する必要がありますか?

  標準のセキュリティ設定では、一般に、これらのリスクの低い種類のメッセージを迷惑メール Email フォルダーに配信します。 この動作は、多くのコンシューマー向けメール オファリングに似ています。ユーザーは迷惑メール Email フォルダーをチェックしてメッセージが見つからないため、それらのメッセージを自分で救うことができます。 または、ユーザーが意図的にニュースレターやマーケティング メールにサインアップした場合は、自分のメールボックスの送信者の登録を解除またはブロックすることを選択できます。

  ただし、多くのエンタープライズ ユーザーは、迷惑メール Email フォルダー内のメールがほとんど (存在する場合) に使用されます。 代わりに、これらのユーザーは、不足しているメッセージの検疫をチェックするために使用されます。 検疫では、検疫通知、通知頻度、およびメッセージの表示と解放に必要なアクセス許可に関する問題が発生します。

  最終的には、検疫への配信を優先して迷惑メール Email フォルダーへの電子メールの配信を禁止する場合は、お客様の決定です。 ただし、1 つのことは確かです。Defender for Office 365のエクスペリエンスがユーザーが使用されているものと異なる場合は、ユーザーに通知し、基本的なトレーニングを提供する必要があります。 パイロットからの学習を組み込み、電子メール配信の新しい動作に対してユーザーが準備されていることを確認します。

• 必要な一括メールと不要な一括メール: 多くの保護システムでは、ユーザーが自分で一括メールを許可またはブロックできます。 これらの設定は Microsoft 365 に簡単に移行できないため、VIP とそのスタッフと連携して、Microsoft 365 で既存の構成を再作成することを検討する必要があります。

  現在、Microsoft 365 では、メッセージ ソースに基づいて一括メール (ニュースレターなど) を安全と見なしています。 現在、これらの "安全な" ソースからのメールは一括としてマークされていないため (一括苦情レベルまたは BCL は 0 または 1 です)、これらのソースからのメールをグローバルにブロックすることは困難です。 ほとんどのユーザーにとって、ソリューションは、これらの一括メッセージの登録を個別に解除するか、Outlook を使用して送信者をブロックするように依頼することです。 ただし、一部のユーザーは、一括メッセージ自体のブロックやサブスクライブ解除を好まない場合があります。

  一括メールをフィルター処理するメール フロー ルールは、VIP ユーザーが一括メール自体を管理したくない場合に役立ちます。 詳細については、「 メール フロー ルールを使用して一括メールをフィルター処理する」を参照してください。

優先度アカウントを特定して指定する

この機能を利用できる場合、 優先度アカウント と ユーザー タグ は、重要な Microsoft 365 ユーザーを特定して、レポートで目立つようにするのに役立ちます。 詳細については、「Microsoft Defender for Office 365のユーザー タグ」および「優先度アカウントの管理と監視」を参照してください。

次の手順

おめでとうございます。 Microsoft Defender for Office 365への移行の準備フェーズが完了しました。

• フェーズ 2: セットアップに進みます。