Overfør til Microsoft Defender for Office 365 – fase 1: Klargjør
Fase 1: Forbered |
 Fase 2: Konfigurere |
 Fase 3: Ombord |
|---|---|---|
| Du er her! |
Velkommen til fase 1: Klargjøroverføringen til Microsoft Defender for Office 365! Denne overføringsfasen inkluderer følgende trinn. Du bør først lagre innstillingene på den eksisterende beskyttelsestjenesten før du gjør endringer. Ellers kan du utføre resten av trinnene i hvilken som helst rekkefølge:
- Lagre innstillingene på den eksisterende beskyttelsestjenesten
- Kontroller den eksisterende beskyttelseskonfigurasjonen i Microsoft 365
- Kontroller konfigurasjonen for e-postruting
- Flytte funksjoner som endrer meldinger til Microsoft 365
- Definer søppelpost og massebrukeropplevelser
- Identifiser og angi prioritetskontoer
Lagre innstillingene på den eksisterende beskyttelsestjenesten
En fullstendig oversikt over innstillinger, regler, unntak osv. fra den eksisterende beskyttelsestjenesten er en god idé, fordi du sannsynligvis ikke vil ha tilgang til informasjonen etter at du har avbrutt abonnementet.
Men det er svært viktig at du ikke automatisk eller vilkårlig gjenskaper alle eksisterende tilpasninger i Defender for Office 365. I beste fall kan du introdusere innstillinger som ikke lenger er nødvendige, relevante eller funksjonelle. I verste fall kan noen av de tidligere tilpasningene faktisk skape sikkerhetsproblemer i Defender for Office 365.
Testing og observasjon av de opprinnelige egenskapene og virkemåten til Defender for Office 365 bestemmer til slutt overstyringene og innstillingene du trenger. Det kan være nyttig å organisere innstillingene fra den eksisterende beskyttelsestjenesten i følgende kategorier:
- Tilkoblings- eller innholdsfiltrering: Du vil sannsynligvis oppdage at du ikke trenger de fleste av disse tilpasningene i Defender for Office 365.
- Forretningsruting: De fleste tilpasningene du trenger å gjenskape, faller sannsynligvis inn i denne kategorien. Du kan for eksempel gjenskape disse innstillingene i Microsoft 365 som regler for Exchange-e-postflyt (også kjent som transportregler), koblinger og unntak fra forfalskningsintelligens.
I stedet for å flytte gamle innstillinger blindt til Microsoft 365, anbefaler vi en fossefalltilnærming. Denne tilnærmingen innebærer en pilotfase med stadig økende brukermedlemskap og observasjonsbasert justering basert på å balansere sikkerhetshensyn med organisasjonens forretningsbehov.
Kontroller den eksisterende beskyttelseskonfigurasjonen i Microsoft 365
Som vi sa tidligere, er det umulig å slå av alle beskyttelsesfunksjoner for e-post som leveres til Microsoft 365, selv når du bruker en tredjeparts beskyttelsestjeneste. Så det er ikke uvanlig at en Microsoft 365-organisasjon har minst noen funksjoner for e-postbeskyttelse konfigurert. Eksempel:
- Tidligere brukte du ikke tredjeparts beskyttelsestjeneste med Microsoft 365. Du kan ha brukt og konfigurert noen beskyttelsesfunksjoner i Microsoft 365 som for øyeblikket ignoreres. Men disse innstillingene kan tre i kraft når du «slår på hjulet» for å aktivere beskyttelsesfunksjonene i Microsoft 365.
- Du kan ha overnattingssteder i Microsoft 365 beskyttelse for falske positiver (god e-post merket som dårlig) eller falske negativer (ugyldig post tillatt) som gjorde det gjennom din eksisterende beskyttelsestjeneste.
Se gjennom eksisterende beskyttelsesfunksjoner i Microsoft 365, og vurder å fjerne eller forenkle innstillinger som ikke lenger er nødvendige. En regel eller policyinnstilling som var nødvendig for mange år siden, kan sette organisasjonen i fare og skape utilsiktede hull i beskyttelsen.
Kontroller konfigurasjonen for e-postruting
Hvis du bruker en slags kompleks ruting (for eksempel Sentralisert e-posttransport), bør du vurdere å forenkle rutingen og dokumentere den grundig. Eksterne hopp, spesielt etter at Microsoft 365 allerede har mottatt meldingen, kan komplisere konfigurasjon og feilsøking.
Utgående og videresending av e-postflyt er utenfor omfanget for denne artikkelen. Du må imidlertid kanskje utføre ett eller flere av følgende trinn:
- Kontroller at alle domenene du bruker til å sende e-post, har de riktige SPF-postene. Hvis du vil ha mer informasjon, kan du se Konfigurere SPF for å forhindre forfalskning.
- Vi anbefaler på det sterkeste at du konfigurerer DKIM-signering i Microsoft 365. Hvis du vil ha mer informasjon, kan du se Bruke DKIM til å validere utgående e-post.
- Hvis du ikke distribuerer e-post direkte fra Microsoft 365, må du endre denne rutingen ved å fjerne eller endre den utgående koblingen.
Bruk av Microsoft 365 til å videresende e-post fra lokale e-postservere kan være et komplekst prosjekt i seg selv. Et enkelt eksempel er et lite antall apper eller enheter som sender de fleste meldingene sine til interne mottakere, og som ikke brukes til masseutsendelser. Se denne veiledningen for mer informasjon. Mer omfattende miljøer må være mer gjennomtenkte. E-post og meldinger for markedsføring som mottakere ikke kan se på som søppelpost, er ikke tillatt.
Defender for Office 365 har ingen funksjon for aggregering av DMARC-rapporter. Gå til katalogen for Microsoft Intelligent Security Association (MISA) for å vise tredjepartsleverandører som tilbyr DMARC-rapportering for Microsoft 365.
Flytte funksjoner som endrer meldinger til Microsoft 365
Du må overføre eventuelle tilpasninger eller funksjoner som endrer meldinger på noen måte til Microsoft 365. Den eksisterende beskyttelsestjenesten legger for eksempel til en ekstern kode i emnet eller meldingsteksten i meldinger fra eksterne avsendere. Alle funksjoner for koblingsbryting vil også føre til problemer med enkelte meldinger. Hvis du bruker en slik funksjon i dag, bør du prioritere utrullingen av klarerte koblinger som et alternativ for å minimere problemer.
Hvis du ikke deaktiverer endringsfunksjoner for meldinger i den eksisterende beskyttelsestjenesten, kan du forvente følgende negative resultater i Microsoft 365:
- DKIM vil bryte. Ikke alle avsendere er avhengige av DKIM, men avsendere som gjør det, vil mislykkes godkjenning.
- Forfalskningsintelligens og justeringstrinnet senere i denne veiledningen fungerer ikke som det skal.
- Du vil sannsynligvis få et høyt antall falske positiver (god e-post merket som dårlig).
Hvis du vil gjenopprette ekstern avsenderidentifikasjon i Microsoft 365, har du følgende alternativer:
- Funksjonen for ekstern utkalling av outlook-avsender, sammen med første kontaktsikkerhetstips.
- Regler for e-postflyt (også kjent som transportregler). Hvis du vil ha mer informasjon, kan du se ansvarsfraskrivelser, signaturer, bunntekster eller topptekster for hele organisasjonen i Exchange Online.
Microsoft samarbeider med bransjen for å støtte arc-standarden (Authenticated Received Chain). Hvis du vil la eventuelle endringsfunksjoner for meldinger være aktivert hos den gjeldende leverandøren av e-postgatewayen, anbefaler vi at du kontakter dem om planene deres for å støtte denne standarden.
Konto for aktive phishing-simuleringer
Hvis du har aktive tredjeparts phishing-simuleringer, må du hindre at meldinger, koblinger og vedlegg identifiseres som phishing av Defender for Office 365. Hvis du vil ha mer informasjon, kan du se Konfigurere tredjeparts phishing-simuleringer i den avanserte leveringspolicyen.
Definer søppelpost og massebrukeropplevelser
Karantene kontra levering til Søppelpost-mappen: Det naturlige og anbefalte svaret for ondsinnede og definitivt risikable meldinger er å sette meldingene i karantene. Men hvordan vil du at brukerne skal håndtere mindre skadelige meldinger, for eksempel søppelpost og masseutsendelse av e-post (også kalt grå e-post)? Skal disse meldingstypene leveres til søppelpostmappene til brukeren?
Med standard sikkerhetsinnstillinger leverer vi vanligvis disse mindre risikable typene meldinger til Søppelpost-mappen. Denne virkemåten ligner på mange forbruker-e-posttilbud, der brukere kan kontrollere søppelpostmappen for manglende meldinger, og de kan redde disse meldingene selv. Hvis brukeren har registrert seg for et nyhetsbrev eller en markedsførings-e-post med hensikt, kan vedkommende velge å stoppe abonnementet eller blokkere avsenderen for sin egen postboks.
Mange bedriftsbrukere er imidlertid vant til lite (om noen) e-post i søppelpostmappen. I stedet brukes disse brukerne til å kontrollere en karantene for manglende meldinger. Karantene introduserer problemer med karantenevarsler, varslingsfrekvens og tillatelsene som kreves for å vise og frigi meldinger.
Til syvende og sist er det din avgjørelse hvis du vil hindre levering av e-post til Søppelpost-mappen til fordel for levering til karantene. Men én ting er sikkert: Hvis opplevelsen i Defender for Office 365 er annerledes enn det brukerne er vant til, må du varsle dem og gi grunnleggende opplæring. Inkorporer læring fra piloten, og sørg for at brukerne er forberedt på ny atferd for e-postlevering.
Ønsket masseutsendelse av e-post kontra uønsket masseutsendelse av e-post: Mange beskyttelsessystemer tillater brukere å tillate eller blokkere masseutsendelse av e-post for seg selv. Disse innstillingene overføres ikke enkelt til Microsoft 365, så du bør vurdere å arbeide med VIP-er og deres ansatte for å gjenopprette eksisterende konfigurasjoner i Microsoft 365.
I dag anser Microsoft 365 masseutsendelser (for eksempel nyhetsbrev) som trygge basert på meldingskilden. E-post fra disse "sikre" kildene er for øyeblikket ikke merket som bulk (masseklagenivået eller BCL er 0 eller 1), så det er vanskelig å globalt blokkere e-post fra disse kildene. For de fleste brukere er løsningen å be dem om å stoppe abonnementet individuelt fra disse massemeldingene eller bruke Outlook til å blokkere avsenderen. Noen brukere liker imidlertid ikke å blokkere eller stoppe abonnementet på massemeldinger selv.
Regler for e-postflyt som filtrerer masseutsendelse av e-post, kan være nyttige når VIP-brukere ikke ønsker å administrere masseutsendelse av e-post selv. Hvis du vil ha mer informasjon, kan du se Bruke regler for e-postflyt til å filtrere masseutsendelse av e-post.
Identifiser og angi prioritetskontoer
Hvis funksjonen er tilgjengelig for deg, kan prioriterte kontoer og brukerkoder bidra til å identifisere viktige Microsoft 365-brukere, slik at de skiller seg ut i rapporter. Hvis du vil ha mer informasjon, kan du se Brukerkoder i Microsoft Defender for Office 365 og Administrere og overvåke prioritetskontoer.
Neste trinn:
Gratulerer! Du har fullført klargjøringsfasen av overføringen til Microsoft Defender for Office 365!
- Fortsett til fase 2: Oppsett.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for