Wprowadzenie do usługi Microsoft Defender dla usługi Office 365

• Dotyczy:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

W nowych organizacjach platformy Microsoft 365 z usługą Microsoft Defender dla usługi Office 365 (dołączonej lub jako subskrypcja dodatku) w tym artykule opisano kroki konfiguracji, które należy wykonać w programie Exchange Online Protection (EOP) i usłudze Defender dla usługi Office 365 w najwcześniejszych dniach organizacji.

Mimo że twoja organizacja platformy Microsoft 365 zapewnia domyślny poziom ochrony od momentu jej utworzenia (lub dodania do niej usługi Defender dla usługi Office 365), kroki opisane w tym artykule zapewniają praktyczny plan uwolnienia pełnej ochrony funkcji EOP i usługi Defender dla usługi Office 365. Po wykonaniu tych kroków możesz również użyć tego artykułu, aby pokazać kierownictwu, że maksymalizujesz swoją inwestycję w platformę Microsoft 365.

Kroki konfigurowania operacji EOP i usługi Defender dla usługi Office 365 opisano na poniższym diagramie:

Porada

Jako towarzysz tego artykułu zalecamy skorzystanie z przewodnika automatycznej konfiguracji usługi Microsoft Defender dla usługi Office 365 pod adresem https://admin.microsoft.com/Adminportal/Home?Q=learndocs#/modernonboarding/office365advancedthreatprotectionadvisor. Ten przewodnik dostosowuje środowisko na podstawie środowiska. Aby zapoznać się z najlepszymi rozwiązaniami bez logowania się i aktywowania funkcji automatycznej konfiguracji, przejdź do portalu konfiguracji platformy Microsoft 365 pod adresem https://setup.microsoft.com/defender/office-365-setup-guide.

Wymagania

Funkcje ochrony przed zagrożeniami pocztą e-mail są dostępne we wszystkich subskrypcjach platformy Microsoft 365 ze skrzynkami pocztowymi w chmurze za pośrednictwem EOP. Usługa Defender dla usługi Office 365 zawiera dodatkowe funkcje ochrony. Aby uzyskać szczegółowe porównania funkcji usługi EOP, usługi Defender dla usługi Office 365 dla planu 1 i usługi Defender dla usługi Office 365 Plan 2, zobacz Omówienie usługi Microsoft Defender dla usługi Office 365.

Role i uprawnienia

Aby skonfigurować funkcje EOP i Defender for Office 365, potrzebne są uprawnienia. W poniższej tabeli wymieniono uprawnienia wymagane do wykonania kroków opisanych w tym artykule (wystarczy jedno— nie potrzebujesz ich wszystkich).

Rola lub grupa ról	Dowiedz się więcej
Administrator globalny w usłudze Microsoft Entra*	Wbudowane role usługi Microsoft Entra
Zarządzanie organizacją w grupach ról współpracy & poczty e-mail	Grupy ról w usłudze Microsoft Defender dla usługi Office 365
Administrator zabezpieczeń w usłudze Microsoft Entra	Wbudowane role usługi Microsoft Entra
Administrator zabezpieczeń w grupach ról współpracy & poczty e-mail	Uprawnienia do współpracy & poczty e-mail w usłudze Microsoft Defender dla usługi Office 365
Zarządzanie organizacją w usłudze Exchange Online	Uprawnienia w usłudze Exchange Online

Ważna

^* Firma Microsoft zaleca używanie ról z najmniejszą liczbą uprawnień. Korzystanie z kont o niższych uprawnieniach pomaga zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Krok 1. Konfigurowanie uwierzytelniania poczty e-mail dla domen platformy Microsoft 365

Podsumowanie: Skonfiguruj rekordySPF, DKIM i DMARC (w tej kolejności) dla wszystkich niestandardowych domen platformy Microsoft 365 (w tym parkowanych domen i domen podrzędnych). W razie potrzeby skonfiguruj wszystkie zaufane uszczelniacze ARC.

Szczegóły:

Uwierzytelnianie poczty e-mail (nazywane również weryfikacją poczty e-mail) to grupa standardów, która sprawdza, czy wiadomości e-mail są uzasadnione, niezmienione i pochodzą z oczekiwanych źródeł domeny poczty e-mail nadawcy. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie za pomocą poczty e-mail w ramach EOP.

Przyjmiemy założenie, że używasz co najmniej jednej domeny niestandardowej w usłudze Microsoft 365 na potrzeby poczty e-mail (na przykład contoso.com), więc musisz utworzyć określone rekordy DNS uwierzytelniania poczty e-mail dla każdej domeny niestandardowej używanej do obsługi poczty e-mail.

Utwórz następujące rekordy DNS uwierzytelniania poczty e-mail u rejestratora DNS lub usługi hostingu DNS dla każdej domeny niestandardowej używanej do obsługi poczty e-mail w usłudze Microsoft 365:

• Struktura zasad nadawcy (SPF): rekord SPF TXT identyfikuje prawidłowe źródła wiadomości e-mail od nadawców w domenie. Aby uzyskać instrukcje, zobacz Konfigurowanie SPF, aby zapobiec fałszowaniu.

• DomainKeys Identified Mail (DKIM): DKIM podpisuje komunikaty wychodzące i przechowuje podpis w nagłówku wiadomości, który przetrwa przekazywanie wiadomości. Aby uzyskać instrukcje, zobacz Używanie modułu DKIM do weryfikowania wychodzących wiadomości e-mail wysyłanych z domeny niestandardowej.

• Uwierzytelnianie komunikatów oparte na domenie, raportowanie i zgodność (DMARC): funkcja DMARC pomaga docelowym serwerom poczty e-mail zdecydować, co zrobić z komunikatami z domeny niestandardowej, które nie sprawdzają SPF i DKIM. Pamiętaj, aby uwzględnić zasady DMARC (p=reject lub p=quarantine) i miejsca docelowe raportów DMARC (raporty agregujące i kryminalistyczne) w rekordach DMARC. Aby uzyskać instrukcje, zobacz Używanie funkcji DMARC do weryfikowania poczty e-mail.

• Uwierzytelniony łańcuch odebranych odebranych (ARC): jeśli używasz usług innych firm, które modyfikują przychodzące komunikaty przesyłane przed dostarczeniem do platformy Microsoft 365, możesz zidentyfikować usługi jako zaufane uszczelniacze ARC (jeśli je obsługują), aby zmodyfikowane komunikaty nie kończyły się automatycznie niepowodzeniem kontroli uwierzytelniania poczty e-mail w usłudze Microsoft 365. Aby uzyskać instrukcje, zobacz Konfigurowanie zaufanych uszczelniaczy ARC.

Jeśli używasz domeny *.onmicrosoft.com na potrzeby poczty e-mail (znanej również jako adres routingu poczty e-mail online firmy Microsoft lub domena MOERA), nie masz prawie tyle do zrobienia:

• SPF: Rekord SPF jest już skonfigurowany dla domeny *.onmicrosoft.com.
• DKIM: Podpisywanie DKIM jest już skonfigurowane dla poczty wychodzącej przy użyciu domeny *.onmicrosoft.com, ale można ją również ręcznie dostosować.
• DMARC: Należy ręcznie skonfigurować rekord DMARC dla domeny *.onmicrosoft.com zgodnie z opisem tutaj.

Krok 2. Konfigurowanie zasad ochrony

Podsumowanie: Włącz i użyj standardowych i/lub ścisłych wstępnie ustawionych zasad zabezpieczeń dla wszystkich adresatów. Lub jeśli firma musi dyktować, zamiast tego utwórz i użyj niestandardowych zasad ochrony, ale okresowo sprawdzaj je przy użyciu analizatora konfiguracji.

Szczegóły:

Jak można sobie wyobrazić, wiele zasad ochrony jest dostępnych w usługach EOP i Defender dla usługi Office 365. Istnieją trzy podstawowe typy zasad ochrony:

• Zasady domyślne: te zasady istnieją od momentu utworzenia organizacji. Mają one zastosowanie do wszystkich adresatów w organizacji, nie można wyłączyć zasad i nie można modyfikować, do kogo mają zastosowanie zasady. Można jednak modyfikować ustawienia zabezpieczeń w zasadach, podobnie jak zasady niestandardowe. Ustawienia w zasadach domyślnych są opisane w tabelach w obszarze Zalecane ustawienia dotyczące eOP i zabezpieczeń usługi Microsoft Defender dla usługi Office 365.

• Wstępnie ustawione zasady zabezpieczeń: Zabezpieczenia wstępnie ustawione to profile , które zawierają większość dostępnych zasad ochrony w usługach EOP i Defender dla usługi Office 365 z ustawieniami dostosowanymi do określonych poziomów ochrony. Wstępnie ustawione zasady zabezpieczeń to:

  • Ścisłe wstępnie ustawione zasady zabezpieczeń.
  • Standardowe wstępnie ustawione zasady zabezpieczeń.
  • Wbudowana ochrona.

  Standardowe i ścisłe wstępnie ustawione zasady zabezpieczeń są domyślnie wyłączone, dopóki nie zostaną włączone. Określasz warunki i wyjątki adresatów (użytkowników, członków grupy, domen lub wszystkich adresatów) dla funkcji ochrony EOP i funkcji ochrony usługi Defender for Office 365 w ramach standardowych i rygorystycznych wstępnie ustawionych zasad zabezpieczeń.

  Wbudowana ochrona w usłudze Defender dla usługi Office 365 jest domyślnie włączona w celu zapewnienia podstawowej ochrony bezpiecznych załączników i bezpiecznych łączy dla wszystkich adresatów. Możesz określić wyjątki adresatów, aby zidentyfikować użytkowników, którzy nie uzyskują ochrony.

  W przypadku standardowych i ścisłych wstępnie ustawionych zasad zabezpieczeń w usłudze Defender dla organizacji usługi Office 365 należy skonfigurować wpisy i opcjonalne wyjątki dotyczące ochrony przed personifikacją użytkowników i domen. Wszystkie inne ustawienia są zablokowane w zalecanych standardowych i ścisłych wartościach (z których wiele jest tych samych). Wartości Standardowa i Ścisła w tabelach znajdują się w temacie Zalecane ustawienia dotyczące eOP i zabezpieczeń usługi Microsoft Defender dla usługi Office 365. Tutaj możesz zobaczyć różnice między standardem a ścisłym.

  W miarę dodawania nowych możliwości ochrony do EOP i usługi Defender dla usługi Office 365 oraz w miarę zmiany poziomu zabezpieczeń ustawienia w wstępnie ustawionych zasad zabezpieczeń są automatycznie aktualizowane do naszych zalecanych ustawień.

• Zasady niestandardowe: w przypadku większości dostępnych zasad ochrony można utworzyć dowolną liczbę zasad niestandardowych. Zasady można stosować do użytkowników przy użyciu warunków adresatów i wyjątków (użytkowników, członków grupy lub domen) i można dostosować ustawienia.

Poprzednie informacje i zasady ochrony, które są zaangażowane, zostały podsumowane w poniższej tabeli:

	Zasady domyślne	Wstępnie ustawione zasady zabezpieczeń	Zasady niestandardowe
Zasady ochrony EOP:
Ochrona przed złośliwym oprogramowaniem	✔	✔	✔
Ochrona przed spamem	✔	✔	✔
Ochrona przed wyłudzaniem informacji (ochrona przed fałszowaniem)	✔	✔	✔
Spam wychodzący	✔		✔
Filtrowanie połączeń	✔¹
Zasady usługi Defender dla usługi Office 365:
Ochrona przed wyłudzaniem informacji (ochrona przed fałszowaniem) oraz: Ochrona przed personifikacją Zaawansowane progi wyłudzania informacji	✔²	✔²	✔
Bezpieczne linki	³	✔	✔
Bezpieczne załączniki	³	✔	✔
Zachowanie ogólne
Domyślnie włączona ochrona?	✔	⁴
Czy skonfigurować warunki/wyjątki w celu ochrony?		✔⁵	✔
Czy dostosować ustawienia zabezpieczeń?	✔	⁶	✔
Ustawienia ochrony są automatycznie aktualizowane?		✔

¹ Brak wpisów domyślnych na liście dozwolonych adresów IP lub na liście zablokowanych adresów IP, więc domyślne zasady filtru połączeń nie robią nic, chyba że dostosujesz ustawienia.

² Brak wpisów ani opcjonalnych wyjątków dotyczących personifikacji użytkowników lub ochrony przed personifikacją domeny w usłudze Defender dla usługi Office 365 do momentu ich skonfigurowania.

³ Chociaż w usłudze Defender for Office 365 nie ma domyślnych zasad bezpiecznych załączników ani bezpiecznych łączy, wbudowana ochrona zapewnia podstawową ochronę bezpiecznych załączników i bezpiecznych łączy, która jest zawsze włączona.

Wbudowana ochrona (ochrona bezpiecznych załączników i bezpiecznych łączy w usłudze Defender dla usługi Office 365) to jedyne wstępnie ustawione zasady zabezpieczeń, które są domyślnie włączone.

⁵ W przypadku standardowych i ścisłych wstępnie ustawionych zasad zabezpieczeń można skonfigurować oddzielne warunki adresatów i opcjonalne wyjątki dotyczące ochrony EOP i usługi Defender dla usługi Office 365. W przypadku wbudowanej ochrony w usłudze Defender dla usługi Office 365 można skonfigurować tylko wyjątki adresatów z ochrony.

⁶ Jedynymi dostosowywalnymi ustawieniami zabezpieczeń w wstępnie ustawionych zasad zabezpieczeń są wpisy i opcjonalne wyjątki dotyczące ochrony przed personifikacją użytkowników i ochrony przed personifikacją domeny w standardowych i ścisłych zasadach zabezpieczeń wstępnie ustawionych w usłudze Defender for Office 365.

Kolejność pierwszeństwa dla zasad ochrony

Sposób stosowania zasad ochrony jest ważną kwestią podczas podejmowania decyzji o sposobie konfigurowania ustawień zabezpieczeń dla użytkowników. Ważne kwestie, o których należy pamiętać, to:

• Funkcje ochrony mają niekonfigurowalną kolejność przetwarzania. Na przykład komunikaty przychodzące są zawsze oceniane pod kątem złośliwego oprogramowania przed spamem.
• Zasady ochrony określonej funkcji (antyspamowe, chroniące przed złośliwym oprogramowaniem, chroniące przed wyłudzaniem informacji itp.) są stosowane w określonej kolejności pierwszeństwa (więcej na temat kolejności pierwszeństwa później).
• Jeśli użytkownik jest celowo lub przypadkowo uwzględniony w wielu zasadach określonej funkcji, pierwsze zasady ochrony dla tej funkcji, w której użytkownik jest zdefiniowany (w oparciu o kolejność pierwszeństwa), określają, co dzieje się z elementem (komunikatem, plikiem, adresem URL itp.).
• Gdy te pierwsze zasady ochrony zostaną zastosowane do określonego elementu dla użytkownika, przetwarzanie zasad dla tej funkcji zostanie zatrzymane. Dla tego użytkownika i określonego elementu nie są oceniane żadne zasady ochrony tej funkcji.

Kolejność pierwszeństwa została szczegółowo wyjaśniona w sekcji Kolejność pierwszeństwa dla wstępnie ustawionych zasad zabezpieczeń i innych zasad, ale w tym miejscu przedstawiono krótkie podsumowanie:

1. Zasady ochrony w wstępnie ustawionych zasadach zabezpieczeń:
   1. Ścisłe wstępnie ustawione zasady zabezpieczeń.
   2. Standardowe wstępnie ustawione zasady zabezpieczeń.
2. Niestandardowe zasady ochrony określonej funkcji (na przykład zasady ochrony przed złośliwym oprogramowaniem). Każda zasada niestandardowa ma wartość priorytetu, która określa kolejność stosowania zasad w odniesieniu do innych zasad ochrony tej samej funkcji:
   1. Zasady niestandardowe z wartością priorytetu 0.
   2. Zasady niestandardowe o wartości priorytetu 1.
   3. I tak dalej.
3. Domyślne zasady ochrony określonej funkcji (na przykład ochrony przed złośliwym oprogramowaniem) lub wbudowanej ochrony w usłudze Defender for Office 365 (bezpieczne linki i bezpieczne załączniki).

Zapoznaj się z poprzednią tabelą, aby zobaczyć, jak określone zasady ochrony są reprezentowane w kolejności pierwszeństwa. Na przykład zasady ochrony przed złośliwym oprogramowaniem są obecne na każdym poziomie. Zasady wychodzącego spamu są dostępne na niestandardowych zasadach i domyślnych poziomach zasad. Zasady filtrowania połączeń są dostępne tylko na domyślnym poziomie zasad.

Aby uniknąć pomyłek i niezamierzonego stosowania zasad, skorzystaj z następujących wytycznych:

• Użyj jednoznacznych grup lub list adresatów na każdym poziomie. Na przykład użyj różnych grup lub list adresatów dla standardowych i rygorystycznych wstępnie ustawionych zasad zabezpieczeń.
• Skonfiguruj wyjątki na każdym poziomie zgodnie z wymaganiami. Na przykład skonfiguruj adresatów, którzy potrzebują zasad niestandardowych, jako wyjątków od standardowych i ścisłych wstępnie ustawionych zasad zabezpieczeń.
• Pozostali adresaci, którzy nie są identyfikowane na wyższych poziomach, otrzymują domyślne zasady lub wbudowaną ochronę w usłudze Defender for Office 365 (bezpieczne linki i bezpieczne załączniki).

Korzystając z tych informacji, możesz zdecydować o najlepszym sposobie wdrożenia zasad ochrony w organizacji.

Określanie strategii zasad ochrony

Teraz, gdy wiesz już o różnych typach zasad ochrony i sposobie ich stosowania, możesz zdecydować, w jaki sposób chcesz używać funkcji EOP i usługi Defender dla usługi Office 365 w celu ochrony użytkowników w organizacji. Twoja decyzja nieuchronnie mieści się w następującym spektrum:

• Użyj tylko wstępnie ustawionych zasad zabezpieczeń w warstwie Standardowa.
• Użyj standardowych i rygorystycznych wstępnie ustawionych zasad zabezpieczeń.
• Użyj wstępnie ustawionych zasad zabezpieczeń i zasad niestandardowych.
• Używaj tylko zasad niestandardowych.

Pamiętaj, że zasady domyślne (i wbudowana ochrona w usłudze Defender dla usługi Office 365) automatycznie chronią wszystkich adresatów w organizacji (każdy, kto nie jest zdefiniowany w zasadach zabezpieczeń standardowych lub ścisłych ustawień wstępnych lub w zasadach niestandardowych). Więc nawet jeśli nic nie zrobisz, wszyscy adresaci w organizacji otrzymają domyślne zabezpieczenia zgodnie z opisem w artykule Zalecane ustawienia dotyczące zabezpieczeń EOP i Microsoft Defender dla usługi Office 365.

Ważne jest również, aby uświadomić sobie, że nie jesteś zablokowany w początkowej decyzji na zawsze. Informacje zawarte w zalecanych tabelach ustawień i tabeli porównawczej dla standardowych i ścisłych powinny umożliwić podjęcie świadomej decyzji. Jeśli jednak zmieniają się potrzeby, wyniki lub okoliczności, nie jest trudno później przełączyć się na inną strategię.

Bez atrakcyjnej potrzeby biznesowej, która wskazuje inaczej, zalecamy rozpoczęcie od standardowych wstępnie ustawionych zasad zabezpieczeń dla wszystkich użytkowników w organizacji. Wstępnie ustawione zasady zabezpieczeń są konfigurowane z ustawieniami na podstawie lat obserwacji w centrach danych platformy Microsoft 365 i powinny być właściwym wyborem dla większości organizacji. Zasady są automatycznie aktualizowane w celu dopasowania ich do zagrożeń w środowisku zabezpieczeń.

W ustawieniach wstępnych zasad zabezpieczeń możesz wybrać opcję Wszyscy adresaci , aby łatwo zastosować ochronę do wszystkich adresatów w organizacji.

Jeśli chcesz uwzględnić niektórych użytkowników w ścisłych zasadach zabezpieczeń wstępnie ustawionych i pozostałych użytkowników w standardowych zasadach zabezpieczeń wstępnie ustawionych, pamiętaj, aby uwzględnić kolejność pierwszeństwa zgodnie z opisem we wcześniejszej części tego artykułu przy użyciu następujących metod:

• Użyj jednoznacznych grup lub list adresatów w poszczególnych wstępnie ustawionych zasadach zabezpieczeń.

  lub

• Skonfiguruj adresatów, którzy powinni pobrać ustawienia wstępnie ustawionych zasad zabezpieczeń w warstwie Standardowa jako wyjątki w zasadach zabezpieczeń ścisłych ustawień wstępnych.

Należy pamiętać, że następujące konfiguracje funkcji ochrony nie mają wpływu na wstępnie ustawione zasady zabezpieczeń (można użyć wstępnie ustawionych zasad zabezpieczeń, a także niezależnie skonfigurować te ustawienia ochrony):

• Zasady spamu wychodzącego (niestandardowe i domyślne)
• Domyślne zasady filtru połączeń (lista dozwolonych adresów IP i lista zablokowanych adresów IP)
• Globalne włączanie bezpiecznych załączników dla programów SharePoint, OneDrive i Microsoft Teams
• Globalnie włącz i skonfiguruj bezpieczne dokumenty (dostępne i znaczące tylko w przypadku licencji, które nie są uwzględnione w usłudze Defender dla usługi Office 365 (na przykład Microsoft 365 A5 lub Microsoft 365 E5 Security))

Aby włączyć i skonfigurować wstępnie skonfigurowane zasady zabezpieczeń, zobacz Preset security policies in EOP and Microsoft Defender for Office 365 (Ustawienia wstępne zasad zabezpieczeń w usłudze EOP i usłudze Microsoft Defender dla usługi Office 365).

Decyzja o użyciu zasad niestandardowych zamiast lub oprócz wstępnie ustawionych zasad zabezpieczeń ostatecznie sprowadza się do następujących wymagań biznesowych:

• Użytkownicy wymagają ustawień zabezpieczeń , które różnią się od ustawień niemodyfikowalnych w wstępnie ustawionych zasadach zabezpieczeń (śmieci a kwarantanna lub odwrotnie, brak wskazówek dotyczących bezpieczeństwa, powiadamianie adresatów niestandardowych itp.).
• Użytkownicy wymagają ustawień, które nie są skonfigurowane w wstępnie skonfigurowanych zasadach zabezpieczeń (na przykład blokowanie poczty e-mail z określonych krajów lub w określonych językach w zasadach ochrony przed spamem).
• Użytkownicy potrzebują środowiska kwarantanny , które różni się od ustawień niemodyfikowalnych w wstępnie ustawionych zasadach zabezpieczeń. Zasady kwarantanny definiują, co użytkownicy mogą zrobić z komunikatami poddanymi kwarantannie na podstawie przyczyny kwarantanny wiadomości oraz tego, czy adresaci są powiadamiani o wiadomościach objętych kwarantanną. Domyślne środowisko kwarantanny użytkownika końcowego jest podsumowane w tabeli tutaj , a zasady kwarantanny używane w standardowych i ścisłych zasadach zabezpieczeń wstępnie ustawionych są opisane w tabelach tutaj.

Skorzystaj z informacji w temacie Zalecane ustawienia dotyczące EOP i zabezpieczeń usługi Microsoft Defender dla usługi Office 365 , aby porównać dostępne ustawienia w zasadach niestandardowych lub zasadach domyślnych z ustawieniami skonfigurowanymi w zasadach zabezpieczeń standardowych i ścisłych.

Wytyczne dotyczące projektowania wielu zasad niestandardowych dla określonej funkcji (na przykład zasad ochrony przed złośliwym oprogramowaniem) obejmują:

• Użytkownicy w zasadach niestandardowych nie mogą być uwzględniane w standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych ze względu na kolejność pierwszeństwa.
• Przypisz mniejszą liczbę użytkowników do zasad o wyższym priorytecie i większą liczbę użytkowników do zasad o niższym priorytecie.
• Skonfiguruj zasady o wyższym priorytecie, aby miały bardziej rygorystyczne lub bardziej wyspecjalizowane ustawienia niż zasady o niższym priorytecie (w tym zasady domyślne).

Jeśli zdecydujesz się na korzystanie z zasad niestandardowych, użyj analizatora konfiguracji , aby okresowo porównywać ustawienia w zasadach z zalecanymi ustawieniami w standardowych i ścisłych zasadach zabezpieczeń.

Krok 3. Przypisywanie uprawnień administratorom

Podsumowanie: Przypisz rolę administratora zabezpieczeń w usłudze Microsoft Entra innym administratorom, specjalistom i pracownikom działu pomocy technicznej, aby mogli wykonywać zadania w zakresie EOP i usługi Defender dla usługi Office 365.

Szczegóły:

Prawdopodobnie używasz już konta początkowego użytego do zarejestrowania się na platformie Microsoft 365 w celu wykonania wszystkich czynności opisanych w tym przewodniku wdrażania. To konto jest administratorem wszędzie na platformie Microsoft 365 (w szczególności jest członkiem roli administratora globalnego w usłudze Microsoft Entra) i umożliwia wykonywanie prawie wszystkich czynności. Wymagane uprawnienia zostały opisane wcześniej w tym artykule w temacie Role i uprawnienia.

Jednak celem tego kroku jest skonfigurowanie innych administratorów, aby ułatwić zarządzanie funkcjami EOP i Defender dla usługi Office 365 w przyszłości. To, czego nie chcesz, to wiele osób z uprawnieniami administratora globalnego, które jej nie potrzebują. Czy na przykład naprawdę muszą usuwać/tworzyć konta lub tworzyć innych użytkowników administratorów globalnych? Koncepcja najniższych uprawnień (przypisywanie tylko wymaganych uprawnień do wykonania zadania i nic więcej) jest dobrym rozwiązaniem.

Jeśli chodzi o przypisywanie uprawnień do zadań w ramach operacji EOP i usługi Defender dla usługi Office 365, dostępne są następujące opcje:

• Uprawnienia usługi Microsoft Entra: te uprawnienia mają zastosowanie do wszystkich obciążeń w usłudze Microsoft 365 (Exchange Online, SharePoint Online, Microsoft Teams itp.).
• Uprawnienia usługi Exchange Online: większość zadań w zakresie EOP i Defender dla usługi Office 365 jest dostępna przy użyciu uprawnień usługi Exchange Online. Przypisywanie uprawnień tylko w usłudze Exchange Online uniemożliwia dostęp administracyjny w innych obciążeniach platformy Microsoft 365.
• Uprawnienia do współpracy & poczty e-mail w portalu usługi Microsoft Defender: Administrowanie niektórymi funkcjami zabezpieczeń w usłudze EOP i usłudze Defender dla usługi Office 365 jest dostępne z uprawnieniami do współpracy & poczty e-mail. Przykład:
  • Analizator konfiguracji
  • Zasady zarządzania kwarantanną i kwarantanny administratora
  • Przesyłanie przez administratora i przeglądanie komunikatów zgłoszonych przez użytkowników
  • Tagi użytkowników

Dla uproszczenia zalecamy korzystanie z roli administratora zabezpieczeń w usłudze Microsoft Entra dla innych osób, które muszą skonfigurować ustawienia w usłudze EOP i usłudze Defender dla usługi Office 365.

Aby uzyskać instrukcje, zobacz Przypisywanie ról usługi Microsoft Entra do użytkowników i Zarządzanie dostępem do usługi Microsoft Defender XDR za pomocą globalnych ról usługi Microsoft Entra.

Krok 4. Priorytetowe konta i tagi użytkowników

Podsumowanie: Identyfikowanie i oznaczanie odpowiednich użytkowników w organizacji jako kont priorytetowych w celu łatwiejszej identyfikacji w raportach i badaniach oraz otrzymywania priorytetowej ochrony konta w usłudze Defender dla usługi Office 365. Rozważ utworzenie i zastosowanie niestandardowych tagów użytkowników w usłudze Defender dla usługi Office 365 Plan 2.

Szczegóły:

W usłudze Defender dla usługi Office 365 konta o priorytecie umożliwiają tagowanie maksymalnie 250 użytkowników o wysokiej wartości w celu ułatwienia identyfikacji w raportach i badaniach. Te konta priorytetowe otrzymują również dodatkowe heurystyki, które nie przynoszą korzyści zwykłym pracownikom. Aby uzyskać więcej informacji, zobacz Zarządzanie kontami priorytetów i monitorowanie ich oraz Konfigurowanie i przeglądanie ochrony konta priorytetowego w usłudze Microsoft Defender dla usługi Office 365.

W usłudze Defender dla usługi Office 365 Plan 2 masz również dostęp do tworzenia i stosowania niestandardowych tagów użytkowników w celu łatwego identyfikowania określonych grup użytkowników w raportach i badaniach. Aby uzyskać więcej informacji, zobacz Tagi użytkowników w usłudze Microsoft Defender dla usługi Office 365.

Zidentyfikuj odpowiednich użytkowników do tagowania jako konta priorytetowe i zdecyduj, czy chcesz utworzyć i zastosować niestandardowe tagi użytkowników.

Krok 5. Przeglądanie i konfigurowanie ustawień komunikatów zgłoszonych przez użytkownika

Podsumowanie: Wdróż dodatki Komunikat raportu lub Raport wyłudzający informacje lub obsługiwane narzędzie innej firmy , aby użytkownicy mogli zgłaszać wyniki fałszywie dodatnie i fałszywie ujemne w programie Outlook, dzięki czemu te zgłoszone komunikaty są dostępne dla administratorów na karcie Zgłaszane przez użytkownika na stronie Przesyłanie w portalu usługi Defender. Skonfiguruj organizację, aby zgłoszone komunikaty trafiały do określonej skrzynki pocztowej raportowania do firmy Microsoft lub obu tych elementów.

Szczegóły:

Możliwość zgłaszania przez użytkowników dobrych wiadomości oznaczonych jako złe (fałszywie dodatnie) lub złe komunikaty dozwolone (fałszywie ujemne) jest ważne, aby monitorować i dostosowywać ustawienia ochrony w usługach EOP i Defender dla usługi Office 365.

Ważne części raportowania komunikatów użytkowników to:

• Jak użytkownicy zgłaszają komunikaty?: Upewnij się, że klienci używają jednej z następujących metod, aby zgłoszone komunikaty były wyświetlane na karcie Zgłaszane przez użytkownika na stronie Przesłane w portalu usługi Defender pod adresem https://security.microsoft.com/reportsubmission?viewid=user:

• Wbudowany przycisk Raport w programie Outlook w Internecie (wcześniej znany jako aplikacja Outlook Web App lub OWA).

• Dodatki Microsoft Report Message lub Report Phishing dla aplikacji Outlook i Outlook w Internecie.

• Narzędzia do raportowania innych firm korzystające z obsługiwanego formatu przesyłania komunikatów.

• Dokąd trafiają komunikaty zgłaszane przez użytkownika?: Dostępne są następujące opcje:

  • Do wyznaczonej skrzynki pocztowej raportowania i do firmy Microsoft (jest to wartość domyślna).
  • Tylko do wyznaczonej skrzynki pocztowej raportowania.
  • Tylko do firmy Microsoft.

  Domyślną skrzynką pocztową używaną do zbierania wiadomości zgłoszonych przez użytkownika jest skrzynka pocztowa administratora globalnego (początkowe konto w organizacji). Jeśli chcesz, aby wiadomości zgłaszane przez użytkownika przechodzić do skrzynki pocztowej raportowania w organizacji, należy utworzyć i skonfigurować ekskluzywną skrzynkę pocztową do użycia.

  Zależy od Ciebie, czy chcesz, aby wiadomości zgłaszane przez użytkownika również trafiały do firmy Microsoft w celu analizy (wyłącznie lub wraz z dostarczeniem do wyznaczonej skrzynki pocztowej raportowania).

  Jeśli chcesz, aby wiadomości zgłaszane przez użytkownika trafiały tylko do wyznaczonej skrzynki pocztowej raportowania, administratorzy powinni ręcznie przesyłać do firmy Microsoft komunikaty zgłaszane przez użytkowników w celu analizy na karcie Zgłoszone przez użytkownika na stronie Przesłane w portalu usługi Defender pod adresem https://security.microsoft.com/reportsubmission?viewid=user.

  Przesyłanie komunikatów zgłoszonych przez użytkownika do firmy Microsoft jest ważne, aby umożliwić naszym filtrom naukę i ulepszanie.

Aby uzyskać pełne informacje o ustawieniach komunikatów zgłoszonych przez użytkownika, zobacz Ustawienia zgłaszane przez użytkownika.

Krok 6. Blokowanie i zezwalanie na wpisy

Podsumowanie: Zapoznaj się z procedurami blokowania i zezwalania na komunikaty, pliki i adresy URL w usłudze Defender dla usługi Office 365.

Szczegóły:

Musisz zapoznać się ze sposobem blokowania i (tymczasowo) zezwalania na wysyłanie komunikatów, pliki i adresy URL w następujących lokalizacjach w portalu usługi Defender:

• Lista dozwolonych/zablokowanych dzierżaw w witrynie https://security.microsoft.com/tenantAllowBlockList.
• Strona Przesłane pod adresem https://security.microsoft.com/reportsubmission.
• Strona Spoof intelligence insight (Analiza analizy fałszowania ) pod adresem https://security.microsoft.com/spoofintelligence.

Ogólnie rzecz biorąc, łatwiej jest tworzyć bloki niż zezwalać, ponieważ niepotrzebne wpisy zezwalają na udostępnianie organizacji złośliwych wiadomości e-mail, które zostałyby przefiltrowane przez system.

• Blokuj:

  • Wpisy blokowe dla domen i adresów e-mail, plików i adresów URL można tworzyć na odpowiednich kartach na liście dozwolonych/zablokowanych dzierżaw oraz przesyłając elementy do firmy Microsoft w celu analizy ze strony Przesyłanie . Po przesłaniu elementu do firmy Microsoft odpowiednie wpisy blokowe są również tworzone na liście dozwolonych/zablokowanych dzierżaw.

    Porada

    Użytkownicy w organizacji nie mogą również wysyłać wiadomości e-mail do domen ani adresów e-mail określonych w wpisach blokowych na liście dozwolonych/zablokowanych dzierżaw.

  • Komunikaty zablokowane przez analizę fałszowania są wyświetlane na stronie Spoof intelligence (Fałszowanie inteligencji ). Jeśli zmienisz wpis zezwalania na wpis blokowy, nadawca stanie się ręcznym wpisem bloku na karcie Spoofed senders (Spoofed senders ) na liście dozwolonych/zablokowanych dzierżawców. Można również proaktywnie tworzyć wpisy blokowe dla nie napotkanych jeszcze sfałszowanych nadawców na karcie Sfałszowane nadawcy .

• Zezwalaj:

  • Nie można tworzyć wpisów dozwolonych dla domen i adresów e-mail, plików i adresów URL bezpośrednio na odpowiednich kartach na liście dozwolonych/zablokowanych dzierżaw. Zamiast tego użyjesz strony Przesłane , aby zgłosić ten element firmie Microsoft. Podczas raportowania elementu do firmy Microsoft możesz wybrać opcję zezwalania na ten element, co powoduje utworzenie odpowiedniego tymczasowego wpisu dozwolonego na liście Zezwalanie/blokowanie dzierżawy.

  • Komunikaty dozwolone przez fałszowanie inteligencji są wyświetlane na stronie Spoof intelligence (Fałszowanie inteligencji ). Jeśli zmienisz wpis bloku na wpis zezwalający, nadawca stanie się ręcznym wpisem dozwolonym na karcie Spoofed senders (Spoofed senders ) na liście dozwolonych/zablokowanych dzierżawców. Można również proaktywnie tworzyć wpisy zezwalania dla niesłusznych nadawców, które nie zostały jeszcze napotkane na karcie Fałszowani nadawcy .

Aby uzyskać szczegółowe informacje, zobacz następujące artykuły:

• Zezwalanie na pocztę e-mail lub blokowanie jej przy użyciu listy dozwolonych/zablokowanych dzierżaw
• Zezwalanie na pliki lub blokuj je przy użyciu listy dozwolonych/zablokowanych dzierżaw
• Zezwalaj na adresy URL lub blokuj je przy użyciu listy dozwolonych/zablokowanych dzierżaw
• Strona Przesłane umożliwia przesyłanie do firmy Microsoft wiadomości e-mail z podejrzeniem spamu, phish, adresów URL, legalnych wiadomości e-mail i załączników wiadomości e-mail
• Zastępowanie werdyktu analizy fałszowania

Krok 7. Uruchamianie symulacji wyłudzania informacji przy użyciu trenowania symulacji ataków

W usłudze Defender for Office 365 Plan 2 trenowanie symulacji ataków umożliwia wysyłanie symulowanych wiadomości wyłudzających informacje do użytkowników i przypisywanie szkoleń na podstawie ich reakcji. Dostępne są następujące opcje:

• Pojedyncze symulacje korzystające z wbudowanych lub niestandardowych ładunków.
• Automatyzacje symulacji zaczerpnięte z rzeczywistych ataków wyłudzania informacji przy użyciu wielu ładunków i zautomatyzowanego planowania.
• Kampanie szkoleniowe , w których nie trzeba uruchamiać kampanii i czekać, aż użytkownicy klikną linki lub pobierzą załączniki w symulowanych komunikatach wyłudzania informacji przed przypisaniem szkoleń.

Aby uzyskać więcej informacji, zobacz Wprowadzenie do trenowania symulacji ataków.

Krok 8. Badanie i reagowanie

Po zakończeniu początkowej konfiguracji skorzystaj z informacji zawartych w przewodniku po operacjach zabezpieczeń usługi Microsoft Defender dla usługi Office 365 , aby monitorować i badać zagrożenia w organizacji.