分享方式:


移轉至 適用於 Office 365 的 Microsoft Defender - 階段 1:準備


階段 1:準備。
階段 1:準備
階段 2:設定。
階段 2:設定
階段 3:上線。
階段 3:上線
您在這裡!

歡迎使用階段 1:準備移轉至 適用於 Office 365 的 Microsoft Defender! 此移轉階段包含下列步驟。 您應該先清查現有保護服務的設定,再進行任何變更。 否則,您可以依任何順序執行其餘步驟:

  1. 清查現有保護服務的設定
  2. 在 Microsoft 365 中檢查您現有的保護設定
  3. 檢查您的郵件路由設定
  4. 將修改訊息的功能移至 Microsoft 365
  5. 定義垃圾郵件和大量用戶體驗
  6. 識別和指定優先順序帳戶

清查現有保護服務的設定

從現有的保護服務完整清查設定、規則、例外狀況等是不錯的主意,因為取消訂用帳戶之後,您可能無法存取資訊。

但是,請務必不要在 適用於 Office 365 的 Defender 中自動或任意地重新建立所有現有的自定義專案。 您最多可以導入不再需要、相關或正常運作的設定。 事實上,您先前的某些自定義項目實際上可能會在 適用於 Office 365 的 Defender 中造成安全性問題。

您對原生功能和 適用於 Office 365 的 Defender 行為的測試和觀察,最終會決定您需要的覆寫和設定。 您可能會發現將現有保護服務中的設定組織成下列類別很有説明:

  • 連線或內容篩選:您可能會發現在 適用於 Office 365 的 Defender 中不需要大部分的自定義專案。
  • 商務路由:您需要重新建立的大部分自定義專案可能屬於此類別。 例如,您可以在 Microsoft 365 中將這些設定重新建立為 Exchange 郵件流程規則, (也稱為傳輸規則) 、連接器和詐騙情報的例外狀況。

我們建議使用瀑布式方法,而不是將舊設定誤移至 Microsoft 365。 此方法牽涉到試驗階段,使用者成員資格不斷增加,以及根據平衡安全性考慮與組織業務需求的觀察型微調。

在 Microsoft 365 中檢查您現有的保護設定

如先前所述,即使您使用第三方保護服務,也不可能完全關閉傳遞至 Microsoft 365 之郵件的所有保護功能。 因此,Microsoft 365 組織至少設定一些電子郵件保護功能並不罕見。 例如:

  • 在過去,您未搭配 Microsoft 365 使用第三方保護服務。 您可能已在 Microsoft 365 中使用並設定一些目前被忽略的保護功能。 但這些設定可能會在您「撥號」時生效,以在 Microsoft 365 中啟用保護功能。
  • 在 Microsoft 365 保護中,您可能會因為誤判 (良好郵件標示為不正確) 或誤判為誤判, (透過現有保護服務所允許的不正確郵件) 。

檢閱 Microsoft 365 中現有的保護功能,並考慮移除或簡化不再需要的設定。 數年前需要的規則或原則設定可能會使組織面臨風險,並在保護方面造成非預期的缺口。

檢查您的郵件路由設定

  • 如果您使用任何類型的複雜路由 (例如 集中式郵件傳輸) ,您應該考慮簡化路由並徹底記錄它。 外部躍點,特別是在 Microsoft 365 已收到訊息之後,可能會使設定和疑難解答變得複雜。

  • 輸出和轉送郵件流程已超出本文的範圍。 不過,您可能需要執行下列一或多個步驟:

    • 確認您用來傳送電子郵件的所有網域都有適當的SPF記錄。 如需詳細資訊,請參閱設定 SPF 以協助防止詐騙
    • 強烈建議您在 Microsoft 365 中設定 DKIM 簽署。 如需詳細資訊,請 參閱使用 DKIM 驗證輸出電子郵件
    • 如果您不是直接從 Microsoft 365 路由傳送郵件,則需要移除或變更輸出連接器來變更該路由。
  • 使用 Microsoft 365 轉送來自內部部署電子郵件伺服器的電子郵件,本身可能是複雜的專案。 簡單範例是少數應用程式或裝置,這些應用程式或裝置會將大部分的郵件傳送給內部收件者,而不會用於大量郵寄。 如需詳細資訊,請參閱 本指南 。 更廣泛的環境需要更仔細。 不允許收件者視為垃圾郵件的行銷電子郵件和郵件。

  • 適用於 Office 365 的 Defender 沒有匯總 DMARC 報表的功能。 請造訪 Microsoft Intelligent Security Association (MISA) 目錄 ,以檢視為 Microsoft 365 提供 DMARC 報告的第三方廠商。

將修改訊息的功能移至 Microsoft 365

您必須將任何以任何方式修改訊息的自定義或功能傳送至 Microsoft 365。 例如,您現有的保護服務會將 外部 標籤新增至來自外部發件者的郵件主旨或訊息本文。 任何鏈接包裝功能也會造成某些訊息的問題。 如果您目前使用這類功能,您應該優先推出安全連結,以替代將問題降至最低。

如果您未關閉現有保護服務中的訊息修改功能,則 Microsoft 365 中可能會有下列負面結果:

  • DKIM 將會中斷。 並非所有寄件人都依賴 DKIM,但執行的寄件者將無法通過驗證。
  • 本指南稍後的詐騙情報和微調步驟將無法正常運作。
  • 您可能會收到大量誤判 (良好郵件標示為不良) 。

若要在 Microsoft 365 中重新建立外部寄件人識別,您有下列選項:

Microsoft 正與業界合作,以支援已驗證的接收鏈結 (ARC) 標準。 如果您想要讓目前郵件閘道提供者啟用任何郵件修改功能,建議您連絡他們以瞭解其支援此標準的計劃。

考慮任何作用中的網路釣魚模擬

如果您有作用中的第三方網路釣魚模擬,您必須防止訊息、連結和附件被 適用於 Office 365 的 Defender 識別為網路釣魚。 如需詳細資訊, 請參閱在進階傳遞原則中設定第三方網路釣魚模擬

定義垃圾郵件和大量用戶體驗

  • 隔離與遞送至垃圾郵件 Email 資料夾:針對惡意且絕對具風險的郵件,自然和建議的回應是隔離郵件。 但是,您要如何讓用戶處理較不有害的郵件,例如垃圾郵件和大量郵件 (也稱為 灰色郵件) ? 這些類型的訊息是否應該傳遞給使用者垃圾 Email資料夾?

    透過標準安全性設定,我們通常會將這些風險較低的訊息類型傳遞至 [垃圾郵件] Email資料夾。 此行為類似於許多取用者電子郵件供應專案,用戶可以在其中檢查其垃圾郵件 Email資料夾中是否有遺漏的郵件,而且他們可以自行修復這些郵件。 或者,如果使用者刻意註冊電子報或行銷郵件,他們可以選擇取消訂閱或封鎖自己信箱的寄件者。

    不過,如果垃圾郵件 Email 資料夾中有任何) 郵件,則許多企業使用者幾乎無法 (。 相反地,這些用戶會用來檢查其遺漏訊息的隔離。 隔離會導入隔離通知、通知頻率,以及檢視和釋放訊息所需的許可權的問題。

    最後,如果您想要防止將電子郵件傳遞至垃圾郵件 Email資料夾,而改為將郵件傳遞到隔離區,則是您決定的。 但有一點是確定的:如果 適用於 Office 365 的 Defender 體驗與使用者的使用方式不同,您必須通知他們並提供基本訓練。 納入試驗中的學習,並確定使用者已準備好進行任何新行為以進行電子郵件傳遞。

  • 想要大量郵件與垃圾大量郵件:許多保護系統都允許使用者自行允許或封鎖大量電子郵件。 這些設定不容易移轉至 Microsoft 365,因此您應該考慮與 VIP 及其員工合作,在 Microsoft 365 中重新建立現有的設定。

    現在,Microsoft 365 會將一些大量郵件 (例如,根據郵件來源) 為安全的電子報。 來自這些「安全」來源的郵件目前未標示為大量 (大量抱怨層級,或 BCL 為 0 或 1) ,因此很難全域封鎖來自這些來源的郵件。 對於大部分的使用者而言,解決方案是要求他們個別取消訂閱這些大量訊息,或使用 Outlook 封鎖發件者。 但是,有些使用者不喜歡封鎖或取消訂閱大量訊息本身。

    當 VIP 使用者不想自行管理大量電子郵件時,篩選大量電子郵件的郵件流程規則會很有説明。 如需詳細資訊,請 參閱使用郵件流程規則來篩選大量電子郵件

識別和指定優先順序帳戶

如果您可以使用此功能, 優先順序帳戶使用者標籤 可協助識別重要的 Microsoft 365 使用者,使其在報告中脫穎而出。 如需詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中的使用者標籤管理和監視優先順序帳戶

下一個步驟

恭喜! 您已完成移轉至 適用於 Office 365 的 Microsoft Defender的準備階段!