迁移到Microsoft Defender for Office 365 - 阶段 1:准备


阶段 1:准备。
阶段 1:准备		 阶段 2:设置。
阶段 2:设置		 阶段 3:载入。
阶段 3:开始使用
你在这里!

欢迎使用阶段 1:准备迁移到Microsoft Defender for Office 365! 此迁移阶段包括以下步骤。 在进行任何更改之前,应首先清点现有保护服务中的设置。 否则,可以按任意顺序执行剩余步骤:

  1. 清点现有保护服务中的设置
  2. 检查 Microsoft 365 中的现有保护配置
  3. 检查邮件路由配置
  4. 将修改邮件的功能移动到 Microsoft 365
  5. 定义垃圾邮件和批量用户体验
  6. 标识和指定优先级帐户

清点现有保护服务中的设置

现有保护服务中的设置、规则、异常等的完整清单是一个好主意,因为在取消订阅后,你可能无法访问信息。

但是,请务必不要自动或任意地在 Defender for Office 365 中重新创建所有现有自定义项。 充其时,可以引入不再需要的设置、相关设置或功能设置。 更糟的是,之前的一些自定义实际上可能会在Defender for Office 365中产生安全问题。

测试和观察Defender for Office 365的本机功能和行为最终决定了所需的替代和设置。 你可能会发现将现有保护服务中的设置组织为以下类别很有帮助:

  • 连接或内容筛选:你可能会发现,Defender for Office 365中不需要大多数自定义项。
  • 业务路由:需要重新创建的大多数自定义项都可能属于此类别。 例如,可以在 Microsoft 365 中重新创建这些设置,作为 Exchange 邮件流规则 (也称为传输规则) 、连接器和欺骗智能例外。

建议采用瀑布式方法,而不是盲目地将旧设置移动到 Microsoft 365 中。 此方法涉及一个试验阶段,用户成员身份不断增加,以及基于观察的优化,该优化基于安全注意事项与组织业务需求的平衡。

检查 Microsoft 365 中的现有保护配置

如前所述,即使使用第三方保护服务,也无法完全关闭传递到 Microsoft 365 的邮件的所有保护功能。 因此,Microsoft 365 组织至少配置一些电子邮件保护功能并不罕见。 例如:

  • 过去,你未将第三方保护服务与 Microsoft 365 配合使用。 你可能已在 Microsoft 365 中使用并配置了一些当前被忽略的保护功能。 但是,当你“转动拨号盘”以启用 Microsoft 365 中的保护功能时,这些设置可能会生效。
  • 你可能在 Microsoft 365 保护中为误报 (良好邮件标记为坏) 或误报, (允许) 通过现有保护服务进行误报。

查看 Microsoft 365 中的现有保护功能,并考虑删除或简化不再需要的设置。 几年前所需的规则或策略设置可能会使组织面临风险,并在保护方面造成意外的漏洞。

检查邮件路由配置

  • 如果使用任何类型的复杂路由 (例如 集中邮件传输) ,应考虑简化路由并对其进行全面记录。 外部跃点(尤其是在 Microsoft 365 已收到消息之后)可能会使配置和故障排除复杂化。

  • 出站和中继邮件流不在本文章的范围内。 但是,可能需要执行以下步骤中的一个或多个步骤:

    • 验证用于发送电子邮件的所有域是否具有正确的 SPF 记录。 如需了解更多信息,请参阅设置 SPF以帮助防止欺骗
    • 强烈建议在 Microsoft 365 中设置 DKIM 登录。 有关详细信息,请参阅 使用 DKIM 验证出站电子邮件
    • 如果不直接从 Microsoft 365 路由邮件,则需要通过删除或更改出站连接器来更改该路由。

  • 使用 Microsoft 365 中继来自本地电子邮件服务器的电子邮件本身可能是一个复杂的项目。 一个简单的示例是少量应用或设备,这些应用或设备将其大部分邮件发送给内部收件人,并且不用于群发邮件。 有关详细信息 ,请参阅本指南 。 更广泛的环境需要更深思熟虑。 不允许接收可能被视为垃圾邮件的营销电子邮件和邮件。

  • Defender for Office 365没有聚合 DMARC 报表的功能。 访问 Microsoft Intelligent Security Association (MISA) 目录 ,查看提供 Microsoft 365 DMARC 报告的第三方供应商。

将修改邮件的功能移动到 Microsoft 365

你需要将以任何方式修改消息的任何自定义项或功能传输到 Microsoft 365 中。 例如,现有保护服务将 外部 标记添加到来自外部发件人的邮件的主题或邮件正文。 任何链接包装功能也会导致某些消息出现问题。 如果目前使用的是此类功能,则应优先推出安全链接,以尽量减少问题。

如果不在现有保护服务中关闭消息修改功能,可以在 Microsoft 365 中预期出现以下负面结果:

  • DKIM 将中断。 并非所有发件人都依赖于 DKIM,但这样做的发件人将失败身份验证。
  • 本指南后面的欺骗智能和优化步骤将无法正常工作。
  • 你可能会收到大量误报, (标记为坏) 。

若要在 Microsoft 365 中重新创建外部发件人标识,可以使用以下选项:

Microsoft 正与业界合作,支持经身份验证的接收链 (ARC) 标准。 如果希望在当前邮件网关提供商处启用任何邮件修改功能,我们建议与他们联系,了解他们支持此标准的计划。

任何活动钓鱼模拟的帐户

如果有活动的第三方网络钓鱼模拟,则需要通过Defender for Office 365防止邮件、链接和附件被标识为钓鱼。 有关详细信息,请参阅 在高级传递策略中配置第三方钓鱼模拟

定义垃圾邮件和批量用户体验

  • 隔离与传递到垃圾邮件Email文件夹:对于恶意邮件和绝对有风险的邮件,建议的自然响应是隔离邮件。 但是,你希望用户如何处理危害较小的邮件(如垃圾邮件)和批量邮件 (也称为 灰色邮件) ? 是否应将这些类型的邮件传递到用户垃圾邮件Email文件夹?

    使用标准安全设置,我们通常会将这些风险较低的邮件类型传递到“垃圾邮件Email”文件夹。 此行为类似于许多使用者电子邮件产品/服务,其中用户可以检查其垃圾邮件Email文件夹中丢失的邮件,并且可以自行拯救这些邮件。 或者,如果用户有意注册新闻稿或营销邮件,他们可以选择取消订阅或阻止发件人获取自己的邮箱。

    但是,许多企业用户习惯于在其“垃圾邮件Email”文件夹中) 邮件时很少 (。 相反,这些用户习惯于检查隔离区中是否有丢失的邮件。 隔离引入了隔离通知、通知频率以及查看和释放邮件所需的权限问题。

    最终,如果想要阻止将电子邮件传递到垃圾邮件Email文件夹,则由你决定将电子邮件传递到隔离区。 但是,有一点是肯定的:如果Defender for Office 365的体验与用户习惯的体验不同,则需要通知他们并提供基本培训。 整合从试点中学到的学习内容,并确保用户已为电子邮件传递的任何新行为做好准备。

  • 需要批量邮件与不需要的批量邮件:许多保护系统允许用户允许或阻止自己的批量电子邮件。 这些设置不容易迁移到 Microsoft 365,因此应考虑与 VIP 及其员工合作,在 Microsoft 365 中重新创建其现有配置。

    目前,Microsoft 365 认为某些批量邮件 (例如,根据邮件源) 新闻稿是安全的。 来自这些“安全”源的邮件当前未标记为批量 (批量投诉级别或 BCL 为 0 或 1) ,因此很难全局阻止来自这些源的邮件。 对于大多数用户,解决方案是要求他们单独取消订阅这些批量邮件,或使用 Outlook 阻止发件人。 但是,某些用户不喜欢阻止或取消订阅批量邮件本身。

    当 VIP 用户不希望自己管理批量电子邮件时,筛选批量电子邮件的邮件流规则会很有帮助。 有关详细信息,请参阅 使用邮件流规则筛选批量电子邮件

标识和指定优先级帐户

如果此功能可供你使用, 则优先级帐户用户标记 可以帮助识别重要的 Microsoft 365 用户,使其在报告中脱颖而出。 有关详细信息,请参阅Microsoft Defender for Office 365中的用户标记和管理并监视优先级帐户

后续步骤

恭喜! 你已完成迁移到 Microsoft Defender for Office 365准备阶段!