Migrera till Microsoft Defender för Office 365 – Fas 1: Förbered


Fas 1: Förbered.
Fas 1: Förbereda		 Fas 2: Konfigurera.
Fas 2: Konfigurera		 Fas 3: Publicera.
Fas 3: Introduktion
Du är här!

Välkommen till fas 1: Förberedmigreringen till Microsoft Defender för Office 365! Den här migreringsfasen innehåller följande steg. Du bör först inventera inställningarna i din befintliga skyddstjänst innan du gör några ändringar. Annars kan du utföra de återstående stegen i valfri ordning:

  1. Inventera inställningarna i din befintliga skyddstjänst
  2. Kontrollera din befintliga skyddskonfiguration i Microsoft 365
  3. Kontrollera konfigurationen av e-postdirigering
  4. Flytta funktioner som ändrar meddelanden till Microsoft 365
  5. Definiera funktioner för skräppost och massanvändare
  6. Identifiera och ange prioritetskonton

Inventera inställningarna i din befintliga skyddstjänst

En fullständig inventering av inställningar, regler, undantag osv. från din befintliga skyddstjänst är en bra idé, eftersom du förmodligen inte kommer att ha åtkomst till informationen när du har avbrutit prenumerationen.

Men det är mycket viktigt att du inte automatiskt eller godtyckligt återskapar alla dina befintliga anpassningar i Defender för Office 365. I bästa fall kan du införa inställningar som inte längre krävs, är relevanta eller funktionella. Ännu värre är att vissa av dina tidigare anpassningar faktiskt kan skapa säkerhetsproblem i Defender för Office 365.

Din testning och observation av de inbyggda funktionerna och beteendet hos Defender för Office 365 avgör slutligen de åsidosättningar och inställningar som du behöver. Det kan vara bra att ordna inställningarna från din befintliga skyddstjänst i följande kategorier:

  • Anslutnings- eller innehållsfiltrering: Du kommer förmodligen inte att behöva de flesta av dessa anpassningar i Defender för Office 365.
  • Affärsroutning: De flesta anpassningar som du behöver återskapa hör troligen till den här kategorin. Du kan till exempel återskapa de här inställningarna i Microsoft 365 som exchange-e-postflödesregler (kallas även transportregler), anslutningsappar och undantag för förfalskningsinformation.

I stället för att flytta gamla inställningar blint till Microsoft 365 rekommenderar vi en vattenfallsmetod. Den här metoden omfattar en pilotfas med ständigt ökande användarmedlemskap och observationsbaserad justering baserat på utjämning av säkerhetsöverväganden med organisationens affärsbehov.

Kontrollera din befintliga skyddskonfiguration i Microsoft 365

Som vi sa tidigare är det omöjligt att helt stänga av alla skyddsfunktioner för e-post som levereras till Microsoft 365, även när du använder en skyddstjänst från tredje part. Därför är det inte ovanligt att en Microsoft 365-organisation har konfigurerat åtminstone vissa e-postskyddsfunktioner. Till exempel:

  • Tidigare använde du inte skyddstjänsten från tredje part med Microsoft 365. Du kanske har använt och konfigurerat vissa skyddsfunktioner i Microsoft 365 som för närvarande ignoreras. Men dessa inställningar kan börja gälla när du "slår på ratten" för att aktivera skyddsfunktionerna i Microsoft 365.
  • Du kan ha boenden i Microsoft 365-skydd för falska positiva identifieringar (bra e-post markerad som dålig) eller falska negativa (felaktig e-post tillåten) som tog sig igenom din befintliga skyddstjänst.

Granska dina befintliga skyddsfunktioner i Microsoft 365 och överväg att ta bort eller förenkla inställningar som inte längre krävs. En regel eller principinställning som krävdes för flera år sedan kan utsätta organisationen för risker och skapa oavsiktliga luckor i skyddet.

Kontrollera konfigurationen av e-postdirigering

  • Om du använder någon form av komplex routning (till exempel Centraliserad e-posttransport) bör du överväga att förenkla routningen och noggrant dokumentera den. Externa hopp, särskilt efter att Microsoft 365 redan har tagit emot meddelandet, kan komplicera konfigurationen och felsökningen.

  • Utgående och vidarebefordrande e-postflöde ligger utanför omfånget för den här artikeln. Du kan dock behöva utföra ett eller flera av följande steg:

  • Att använda Microsoft 365 för att vidarebefordra e-post från dina lokala e-postservrar kan vara ett komplext projekt i sig. Ett enkelt exempel är ett litet antal appar eller enheter som skickar de flesta av sina meddelanden till interna mottagare och inte används för massmeddelanden. Mer information finns i den här guiden . Mer omfattande miljöer måste vara mer genomtänkta. Marknadsföring av e-post och meddelanden som kan ses som skräppost av mottagare tillåts inte.

  • Defender för Office 365 har ingen funktion för att aggregera DMARC-rapporter. Besök katalogen Microsoft Intelligent Security Association (MISA) för att visa tredjepartsleverantörer som erbjuder DMARC-rapportering för Microsoft 365.

Flytta funktioner som ändrar meddelanden till Microsoft 365

Du måste överföra alla anpassningar eller funktioner som ändrar meddelanden på något sätt till Microsoft 365. Din befintliga skyddstjänst lägger till exempel till en extern tagg i ämnes- eller meddelandetexten för meddelanden från externa avsändare. Alla funktioner för länkomslutning kan också orsaka problem med vissa meddelanden. Om du använder en sådan funktion i dag bör du prioritera distributionen av säkra länkar som ett alternativ för att minimera problem.

Om du inte inaktiverar funktioner för meddelandeändring i din befintliga skyddstjänst kan du förvänta dig följande negativa resultat i Microsoft 365:

  • DKIM bryts. Alla avsändare förlitar sig inte på DKIM, men avsändare som gör det misslyckas med autentiseringen.
  • Förfalskningsinformation och justeringssteg senare i den här guiden fungerar inte korrekt.
  • Du får förmodligen ett stort antal falska positiva identifieringar (bra e-post markerad som dålig).

Om du vill återskapa extern avsändaridentifiering i Microsoft 365 har du följande alternativ:

Microsoft arbetar med branschen för att stödja arc-standarden (Authenticated Received Chain). Om du vill lämna alla funktioner för meddelandeändring aktiverade hos din aktuella e-postgatewayleverantör rekommenderar vi att du kontaktar dem om deras planer för att stödja den här standarden.

Ta hänsyn till alla aktiva nätfiskesimuleringar

Om du har aktiva nätfiskesimuleringar från tredje part måste du förhindra att meddelanden, länkar och bifogade filer identifieras som nätfiske av Defender för Office 365. Mer information finns i Konfigurera nätfiskesimuleringar från tredje part i den avancerade leveransprincipen.

Definiera funktioner för skräppost och massanvändare

  • Karantän jämfört med leverera till mappen Junk Email: Det naturliga och rekommenderade svaret för skadliga och definitivt riskfyllda meddelanden är att placera meddelandena i karantän. Men hur vill du att användarna ska hantera mindre skadliga meddelanden, till exempel skräppost och massutskick (kallas även grå e-post)? Ska dessa typer av meddelanden levereras till användarens skräppostmappar Email?

    Med våra standardsäkerhetsinställningar levererar vi vanligtvis dessa mindre riskfyllda typer av meddelanden till mappen Junk Email. Det här beteendet liknar många e-posterbjudanden för konsumenter, där användarna kan kontrollera sin skräppostmapp Email för saknade meddelanden, och de kan själva rädda dessa meddelanden. Eller, om användaren avsiktligt har registrerat sig för ett nyhetsbrev eller marknadsföringsmeddelande, kan de välja att avbryta prenumerationen eller blockera avsändaren för sin egen postlåda.

    Många företagsanvändare är dock vana vid små (om några) e-postmeddelanden i mappen Skräppost Email. I stället används dessa användare för att kontrollera om meddelanden saknas i karantän. Karantän introducerar problem med karantänmeddelanden, meddelandefrekvens och de behörigheter som krävs för att visa och släppa meddelanden.

    I slutändan är det ditt beslut om du vill förhindra leverans av e-post till mappen Junk Email till förmån för leverans till karantän. Men en sak är säker: om upplevelsen i Defender för Office 365 skiljer sig från vad användarna är vana vid måste du meddela dem och tillhandahålla grundläggande utbildning. Införliva lärdomar från piloten och se till att användarna är förberedda för nya beteenden för e-postleverans.

  • Ville ha massutskick jämfört med oönskad massutskick: Många skyddssystem tillåter att användare tillåter eller blockerar massutskick för sig själva. De här inställningarna migreras inte enkelt till Microsoft 365, så du bör överväga att arbeta med VIP och deras personal för att återskapa befintliga konfigurationer i Microsoft 365.

    Idag anser Microsoft 365 att vissa massutskick (till exempel nyhetsbrev) är säkra baserat på meddelandekällan. E-post från dessa "säkra" källor är för närvarande inte markerad som massutskick (massklagomålsnivån eller BCL är 0 eller 1), så det är svårt att globalt blockera e-post från dessa källor. För de flesta användare är lösningen att be dem att avbryta prenumerationen individuellt från dessa massmeddelanden eller använda Outlook för att blockera avsändaren. Men vissa användare gillar inte blockering eller avprenumerering från massmeddelanden själva.

    E-postflödesregler som filtrerar massutskick kan vara till hjälp när VIP-användare inte själva vill hantera massutskick. Mer information finns i Använda e-postflödesregler för att filtrera massutskick.

Identifiera och ange prioritetskonton

Om funktionen är tillgänglig för dig kan prioritetskonton och användartaggar hjälpa dig att identifiera viktiga Microsoft 365-användare så att de sticker ut i rapporter. Mer information finns i Användartaggar i Microsoft Defender för Office 365 och Hantera och övervaka prioritetskonton.

Nästa steg

Grattis! Du har slutfört förberedelsefasen för migreringen till Microsoft Defender för Office 365!